creep33

creep33

OSCP, BSCP, OSWP, eJPT
Cybersecurity Analyst && Pentester

HTB-Forest

IP -> 10.10.10.161

Reconocimiento

Nmap

Utilizamos nmap y obtenemos los siguientes resultados. Forest Nmap Result

Crackmapexec

Usamos Crackmapexec para enumerar información del Active Directory y añadimos el dominio al /etc/hosts

OS: Windows Server 2016 Dominio: htb.local Signing: True SMBv1: True

Añadimos el dominio al /etc/hosts

smbclient y smbhost

Listamos servicios mediante un null session tanto con smbclient como con smbmap.

No encontramos nada

rpc

Aporvechamos el servicio rpc para enumerar usuarios del sistema.

kerbrute

Verificamos los usuarios que hemos obtenido en Kerberos Algunos usuarios no son válidos, los quitamos.

Archivo users

GetNPUsers.py

Probamos un ASREPRoast con la herramienta [GetNPUsers.py]((/ASREPRoast/)

Obtenemos un ticket del usuario: svc-alfresco

John

Tratamos de romper el hash con John y el rockyou.

Obtenemos la contraseña en texto claro User: svc-alfresco Pass: s3rvice

Crackmapexec

Validamos las contraseñas con Crackmapexec.

GetUserSPN.py

Probamos un Kerberoasting Attack con la credenciales obtenidas pero no obtenemos ninguna entrada.

ldapdomaindump

Utilizamos la herramienta [ldapdomaindump]((/ldap/)

Crackmapexec

Probamos las credenciales por winrm. Tenemos acceso a la maquina por [winrm

Explotación

Evil-winrm

Nos conectamos con la herramienta [evil-winrm]((/winrm/)

user.txt

Privilege escalation

Recopilamos información con SharpHound.ps1 y la interpretamos con Bloodhound.

Shortest path to Domain Admin

Enumeramos la información de nuestro usuario.

whoami /all
net user svc-alfresco

En base a la información de Bloodhound, de ldap y en winrm. Vemos que pertenecemos al grupo acount operations.

Buscamos por internet y vemos que tenemos privilegios para crear usuarios (entre otros)

Explotación

Añadimos un usuario al Active Directory

net user creep	Mario123$! /add /domain

Nos añadimos al grupo Exange Windows Permissions

net group "Exange Windows Permissions" creep /add
net user creep

Ya tenemos un usuario en el grupo Exange Windows Permissions

User: creep Pass: Mario123$! Group: Exange Windows Permissions

Miramos en Bloodhound qué podemos hacer. Podemos realizar un ataque DCSync con este usuario.

Primero tenemos que otorgar el privilegio para hacer DCSync con secretsdump.py.

Utilizamos la herramienta PowerView.ps1

Subimos la herramienta, la importamos y seguimos los pasos de Bloodhound

Import-Module .\PowerView.ps1
$SecPassword = ConvertTo-SecureString 'Mario123$!' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('htb.local\creep', $SecPassword)
Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity creep -Rights DCSync

Ahora con secretsdump.py dumpeamos el NTDS.dit

Con el hash del administrador, nos conectamos con winrm

root.txt

Escrito el 08-12-2021 a las 02:46 pm por creep33.

Tags:

Categories:

Updated: