Usamos el netdiscover para ver las IPs de nuestro segmento de red

Podemos observar que nmap descubrió el dominio WORKGROUP en nuestro objetivo y es un Windows Server 2016 (14393) a través del script smb-os-discovery. Tambien observamos que el usuario guest es soportado. Probemos acceder con el usuario invitado mediante el comando smbmap

Vemos que tenemos Compartido, accedemos mediante smbclient

Navegando a Proyectos\Quokka\Código encontramos algunos archivos

Bajamos los archivos con mget *:

El html no tiene nada

Hay un .bat

Y otro mantenimiento - copia.bat que contiene lo siguiente

Intentemos cambiar la ip destino de la revshell

Ahora lo subimos con put

Con el comando more revisamos

Verificamos que apache esté corriendo

Creamos el shell.ps1 y lo copiamos a la carpeta de apache

Con msfconsole preparamos una revshell

Esperamos como máximo 1 minuto que es lo que tarda en ejecutar mantenimiento.bat y ya tenemos la sesión

Estamos como administrador

Vemos que en el usuario 0mar tenemos el archivo user.txt

Y como somos administrador, podemos ver el desktop también de este usuario. Obtenemos admin.txt