Sigo publicando soluciones enviadas para la finalizaci贸n de m谩quinas desde la plataforma HackTheBox .
En este art铆culo, encontramos un usuario v谩lido que usa LDAP, trabajamos con datos de inicio de sesi贸n autom谩tico y tambi茅n realizamos ataques AS-REP Roasting y DCSync destinados a obtener credenciales.
La conexi贸n al laboratorio es v铆a VPN. Se recomienda no conectarse desde una computadora de trabajo o desde un host donde haya datos importantes para usted, ya que se encuentra en una red privada con personas que saben algo sobre seguridad de la informaci贸n.
Informaci贸n organizacional
Recon
Esta m谩quina tiene una direcci贸n IP de 10.10.10.175, que agrego a / etc / hosts.
10.10.10.175 sauna.htb
El primer paso es escanear los puertos abiertos. Dado que se necesita mucho tiempo para escanear todos los puertos con nmap, primero lo har茅 usando masscan. Escaneamos todos los puertos TCP y UDP desde la interfaz tun0 a 500 paquetes por segundo.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.175 --rate=500
Muchos puertos est谩n abiertos en el host. Ahora escane茅moslos con nmap para filtrar y seleccionar los que necesitamos.
nmap sauna.htb -p53,593,49690,80,135,49670,88,3269,139,464,389,9389,445,49669,49667,3268,50956,636,5985
Ahora, para obtener informaci贸n m谩s detallada sobre los servicios que se ejecutan en los puertos, ejecute un escaneo con la opci贸n -A.
nmap -A sauna.htb -p53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389
Hay muchos servicios en el host y lo primero que debe hacer es mirar todo lo que pueden brindar WEB, LDAP, SMB y DNS. Para trabajar con LDAP, prefiero el navegador ldap JXplorer . Conect茅monos al host.
Despu茅s de una conexi贸n an贸nima exitosa, los siguientes registros est谩n disponibles para nosotros. Entre ellos encontramos, presumiblemente, el nombre de usuario.
Luego nos vamos a la WEB y buscamos al personal de la empresa.
Tenemos una lista de posibles usuarios, pero no se sabe cu谩l de ellos tiene cuenta, ni c贸mo se llama. Pero de LDAP, aprendimos un usuario que definitivamente tiene una cuenta. Entonces hagamos una lista de posibles nombres para esta entrada.
Para determinar si existe una cuenta determinada, puede intentar realizar el tostado AS-REP, luego se nos informar谩 si esta cuenta no est谩 en el sistema. De lo contrario, podremos llevar a cabo el ataque o no; todo depende del indicador DONT_REQ_PREAUTH (lo que significa que esta cuenta no requiere autenticaci贸n previa de Kerberos) establecido en el UAC de esta entrada. El ataque se puede llevar a cabo utilizando el script GetNPUsers del paquete impacket.
As铆, el usuario Hugo Smith tiene una cuenta hsmith.
USUARIO
Bas谩ndonos en el hecho de que los administradores est谩n tratando de seguir el principio general de las convenciones de nomenclatura de usuarios, enumeremos las posibles cuentas de otros usuarios.
Y repitamos el ataque para estos usuarios.
De todos los usuarios, solo uno tiene una cuenta, y el ataque pasa, obtenemos un hash de la contrase帽a del usuario. Lo brutalizamos.
Y la contrase帽a se encontr贸 correctamente. De las muchas formas de usar las credenciales, elija el Servicio de administraci贸n remota (WinRM). Usamos Evil-Winrm para conectarnos .
Y tomamos al usuario.
USUARIO2
Se pueden utilizar scripts de enumeraci贸n b谩sicos para recopilar informaci贸n sobre el host, el m谩s completo es winPEAS . Desc谩rguelo en el host de destino y ejec煤telo.
Entre la informaci贸n que muestra, encontramos los datos de inicio de sesi贸n autom谩tico.
Pero cuando intentamos conectarnos, fallamos.
Regresemos y veamos qu茅 cuentas est谩n registradas en el sistema. Busque el nombre de la cuenta de este usuario.
RA脥Z
Despu茅s de conectarse y realizar varias enumeraciones, descargue SharpHound en el host.
Y lo haremos.
Aparecer谩 un archivo en el directorio actual, desc谩rguelo.
Y lanzamos BloodHound.
Por lo tanto, tenemos la relaci贸n GetChangesAll (puede obtener informaci贸n sobre ella).
El mensaje anterior dice sobre el privilegio DS-Replication-Get-Changes-All. Esto significa que podemos solicitar la replicaci贸n de datos cr铆ticos de un controlador de dominio. Esto se puede hacer usando el mismo paquete de impacket.
Y tenemos un hash de administrador. Evil-Winrm te permite conectarte usando un hash.
Y tenemos al Administrador.
Puedes unirte a nosotros en Telegram... All铆 puede encontrar materiales interesantes, cursos filtrados y software. Reunamos una comunidad en la que haya personas con experiencia en muchas 谩reas de TI, entonces siempre podremos ayudarnos unos a otros en cualquier tema de TI y seguridad de la informaci贸n.