Sauna HackTheBox (Writeup)

Hack The Boxapp.hackthebox.com

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

Analyse des ports ouverts avec extractport : Utilisation de la fonction extractport pour afficher de manière synthétique les ports ouverts et les copier dans le presse-papiers.

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

Énumération et Exploitation:

Reconnaissance SMB:

Utilisation de CrackMapExec pour identifier le système d'exploitation

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP.

Exploration des partages SMB sur le réseau pour identifier les ressources partagées mais aucun resultat.

Reconnaissance RPC:

Utilisation de rpcclient pour interagir avec les services RPC et collecter des informations sur les ressources

Reconnaissance LDAP:

389, 636, 3268, 3269 - Pentesting LDAP - HackTricksbook.hacktricks.xyz

Analyse des informations LDAP pour obtenir des détails sur la structure du domaine et les utilisateurs.

Analyse des Informations LDAP

Analyse des détails sur la structure du domaine et les utilisateurs.

Filtrage des Utilisateurs LDAP

Filtrage pour obtenir seulement les utilisateurs LDAP.

Énumération des Utilisateurs:

Création d'un fichier users.txt contenant des noms d'utilisateurs potentiels.

Énumération des Utilisateurs via Kerberos

Utilisation de kerbrute pour énumérer les utilisateurs valides.

Énumération des Utilisateurs via Impacket

Utilisation de impacket-GetNPUsers pour énumérer les utilisateurs valides sans mot de passe.

Attaque par Force Brute:

Utilisation de John pour cracker le hash récupéré.

Connexion et Contrôle à Distance

Utilisation de WinRM pour se connecter à distance.

Effectivement, cela fonctionne, mais sans le pwned, il n'est pas possible de se connecter via WinRM.

Dans cet exemple, la connexion est possible parce que l'utilisateur fsmith est membre du groupe *Remote Management Users

Connexion avec Evil-WinRM

Utilisation de Evil-WinRM pour une connexion interactive via WinRM.

Élévation de privilége:

Vérification des Privilèges Spéciaux:

Utilisation de whoami /priv pour vérifier les privilèges spéciaux.

Recherche de Nouveaux Utilisateurs

Utilisation de net user pour rechercher de nouveaux utilisateurs.

Recherche de Credentials pour l'Utilisateur "svc_loanmgr"

Reconnaissance avec winPEAS.exe

Release Release refs/heads/master 20220717 · peass-ng/PEASS-ngGitHub

Téléchargement et exécution de l'outil de reconnaissance winPEAS

Validation des identifiants trouvés avec crackmapexec :

Les identifiants de connexion automatique pour l'utilisateur svc_loanmgr ont été trouvés, avec le mot de passe

Utilisation de crackmapexec pour valider que le mot de passe est correct.

Connexion avec les identifiants "svc_loanmgr" :

Énumération du Domaine avec Bloodhound :

Collecte d'informations avec SharpHound.ps1 :

powershell/SharpHound.ps1 at master · puckiestyle/powershellGitHub

Transfert des données collectées vers Linux et importation dans Bloodhound

Création d'un fichier .zip avec les résultats de la collecte.

Téléchargement du fichier zip depuis la machine Windows vers Linux.

Importation du fichier zip dans Bloodhound.

Analyse et Exploitation:

Filtrage pour le chemin le plus court vers l'administration

L'outil indique la possibilité d'effectuer une attaque DCsync.

Vulnérabilité DCSync Attack:

DCSync - HackTricksbook.hacktricks.xyz

Utilisation de secretsdump pour obtenir le hash NT de l'utilisateur administrateur.

Utilisation de psexec pour exécuter une cmd en tant qu'administrateur en utilisant le hash NT.

Flag finale :)