creep33

creep33

OSCP, BSCP, OSWP, eJPT
Cybersecurity Analyst && Pentester

HTB-Sauna

IP -> 10.10.10.175

Reconocimiento

Nmap

Utilizamos nmap y obtenemos los siguientes resultados.

Sauna Nmap Result

Crackmapexec

Usamos Crackmapexec para enumerar información del Active Directory y añadimos el dominio al /etc/hosts

OS: Windiws 10 Dominio: EGOTISTICAL-BANK.LOCAL Signing: True SMBv1: False

smbclient y smbhost

Listamos servicios mediante un [null session](/SMB/ Pero no encontramos nada.

ldap

Enumeramos el servicio ldap con [ldapsearch]((/ldap/) Pero tampoco encontramos nada

rpc

Aporvechamos el servicio rpc para enumerar usuarios del sistema. Pero necesitamos credenciales.

http

Enumeramos la página web. Miramos con whatweb y con wappalizer. Pero no encontramos nada. Seguimos buscando en la página y en el about us encontramos nombres de usuario. Hacemos un diccionario de usuarios con posibles nombres de usuario jugando con el nombre y el apellido.

users.txt

kerbrute

Validamos los usuarios en kerbrute.

Un usuario es válido

GetNPUsers.py

Probamos un ASREPRoast con la herramienta [GetNPUsers.py]((/ASREPRoast/)

Obtenemos un TGT.

John

Tratamos de romper el hash por fuerzabruta con john y el rockyou.

Credentials.txt User: fsmith Pass: Thestrokes23

Crackmapexec

Validamos la credenciales en SMB y winrm con Crackmapexec.

PWNED en winrm

Explotación

Evil-winrm

Nos conectamos a la máquina con Evil-winrm

user.txt

User pivoting

rpc

Enumeramos usuarios por rpc con las credenciales que hemos obtenido.

ldapdomaindump

Utilizamos la herramienta ldapdomaindump.

OS

whoami /priv
whoami /all
net user fsmith
cd C:\
dir -force

winpeas

Vamos a enumerar con winpeas.

DefaultUserName svc_loanmgr DefaultPassword **********

Obtenemos credenciales

Crackmapexec

Validamos la credenciales con Crackmapexec. Obtenemos PWNED con winrm

Privilege Escalation

OS

whoami /priv
net user svc_loanmgr

BloodHound

Analizamos el systema con BloodHound. Dumpearemos la informacion con bloodhound-python.

El usuario svc_loanmgr puede realizar un ataque DCSync.

Explotación

secretsdump.py

Utilizamos la herramienta secretsdump.py para dumpear los hashes NT.

evil-winrm

Nos conectamos al usuario administrador haciendo Pass-The-Hash con evil-winrm.

root.txt

Tags:

Categories:

Updated: