Тренируюсь проводить пентесты, давно этим не занимался, но решил вспомнить былое.

Сетка моей организации, и я сам хакаю себя.
Получен доступ в сеть по вайфаю. Найдены машины. Интересует одна, без фильтрованных портов.

Картина такая:

PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
3389/tcp open ms-wbt-server
5357/tcp open wsdapi

Я знаю что там Win10, машина рядом со мной стоит)
Подскажите, есть ли что-то попсовое из сплоитов для win10, типа bluekeep, и если нет, то что дальше посоветуете делать?
Насколько я помню по 2000 винде, были утилитки для коннекта к шарам и вытаскивание списка пользователей. Еще были варианты с перехватом NTLM хешей и брутом.
Подскажите что сейчас актуально для вин 10.

Сеть доменная?

Можешь использовать модули auxiliary в metasploit и вынуть больше информации с этих портов.

не, рабочая группа. несколько тачек на винде.

спасибо посмотрел. очень интересные фишки с респондером и отравлением запросов.
Но зная изнутри порядок работы, спуфинг врядли может подойти, потому что юзеры не пользвются шарами. Просто работают локально и юзают браузер и серфинг.

Все еще надеюсь найти какой-нибудь RCE сплоит. Но пока что вырисовывается вектор через RDP. Он открыт на Win10, а это значит что там стоит патч на терминалый сервак для админов и он точно рабочий.
Ищу способ пробить список пользователей. Пока заинтересовал smb_lookupsid

Однако брут по rdp это долго и нет 100 гарантии.
почти уверен, что на тачке есть юзеры без пароля, но штатные политики вряд ли дадут под ними зайти.
так же включен Guest.
SMB Auxiliary Modules с гостем дадут больше инфы чем вообще без ничего? или одинаково?
Подкиньте идей.

Если есть гость, то вроде должен подойти Bluekeep

Если конечно эта уязвимость не исправлена у них. В любом случае попробуй, может выйдет

спасибо, попробую. blukeepp вроде на 10ке не работал, читал что есть blukeep2 уже для 10ки, но в метасплоит еще не запилили, и ваще не уверен что он в паблике. Только анонсы были.

Эксплоиты можешь искать тут - Offensive Security’s Exploit Database Archive там их много и каждый день что то новое и появляется там

Вот еще список ресурсов по поводу уязвимостей:

Nist
cvedetails
securityfocus
cve-mitre

Exploitalert - database of exploits - наподобие exploitdb
Поиск осуществляется по ключевым словам или по CVE номерам, к которым присвоены уязвимости

Она не бьет десятку.

Если ты внутри локалки и юзеры используют браузер, пробуй mitm атаки. Инжекты в траффик, подмена файлов, редиректы. Используй тот же Beef, SEtoolkit и подобные. Вектор гораздо интереснее, чем брутить RDP) Из RCE для десятки толко вот и он не под все билды + должно быть выполнено условие на хосте aka расшаренная папка с правами на чтение anonymous юзера и всё это при условии, что хост не обновлялся с начала 17-го года).