Wazuh es una plataforma de seguridad open que incluye un XDR(Extended Detection and Response) y SIEM (Security Information and Event Management). La solución esta compuesta por tres componentes centrales Wazuh Indexer: motor de análisis de texto y con característica de escalabilidad, se encarga de indexar y almacenar las alertas generadas…

En la siguiente entrada se detallan las configuraciones básicas realizadas para el monitoreo en tiempo real de los inicios de sesión exitosos y fallidos de MSSQL Server con Wazuh Resumen Activar Logs de Auditoria en MSSQL Server Identificación de Eventos MSSQL Server Archivo de Configuración Agente Creación de las reglas Visualización…

Esta maquina tiene sus particularidades, por ejemplo la identificación de puertos fue lo mas complicado, ya que autorecon presentó un par de problemas, para el acceso inicial, se modificó un exploit cambiando la dirección IP y el payload para obtener una conexión reversa. Para la escalada de privilegio, el primer…

Maquina relativamente sencilla, no fue necesario escalar privilegios, con el acceso inicial se obtuvo privilegios de SYSTEM Identificación de puertos y servicios Se identificó el servicio HTTP, puerto 8080 con una versión de apache Tomcat/Coyote JSP Engine 1.1

En mi opinión personal, creo que la escalada fue mas fácil que identificar que el acceso inicial, se obtuvo acceso saltando las restricciones por tipo de archivo, se identificó que se podía subir archivos web.Config …

El acceso inicial no fue complicado, debido a la información que se obtuvo. En el caso de la escalada de privilegio se intento dos diferentes opciones, ambas deberían funcionar, en mi caso una no funcionó, entonces opte por kernel exploit Identificación de puertos y servicios En esta fase solo se identificó un servicio IIS 6.0…

Una maquina “media” rara, ¿en que sentido? no se si es algo normal, pero servidor tenia un tiempo de repuesta muy lento, se reinició en varias oportunidades. Respecto al compromiso inicial , fue relativamente fácil y en el caso de la escalada de privilegio, se escalo privilegios a traves de…

El acceso inicial , fue relativamente sencillas, se realizo un bypass debido al tipo de archivo que estaba permitido subir, según la versión del IIS, al pasar el bypass, se subió la webshell y lo demás… La elevación de privilegios fue media “tricky” debido a que se identificaron exploit a…

Una maquina interesante en el acceso inicial, y relativamente facil en la escalada de privilegios. Identificación de puertos y servicios La mayoría recomienda utilizar autorecon, en este caso en particular, autorecon quedo “colgado” aun así generó la información necesaria para comenzar la identificación de puertos y servicios.