Post

Райтап HTB Sauna

Posted
By Ivan K.
2 min read

Введение

Привет, хакеры! В этой машине уровня “Лёгкий” от HTB мы будем эксплуатировать аттрибут kerberos ‘No preauth’, проводить разведку с помощью winPEAS и дампить LSASS с помощью mimikatz. Это была довольно простая машина, но это хорошее введение для тех, кто только начинает тестировать Active Directory на проникновение.

Разведка

Nmap

5262bc92c9b2ea4caec50d3b36259a2a.png

У нас открыто несколько портов, есть веб-сайт, который, по сути, представляет собой страницу, не содержащую ничего, формы не работают, и никакой брутфорс директорий или виртуальных хостов (vhost) не помогает. Поэтому я не буду показывать скриншоты. (чтобы сэкономить ваше время)

Kerberos (port 88)

Мы видим, что порт kerberos открыт, что нормально для контроллера домена в Active directory. Давайте перечислим пользователей с помощью kerbrute.

Это работает, потому что kerberos возвращает различные ответы, если пароль неверен или если пользователь не существует, что позволяет нам определить существующих пользователей.

35140c9f877992cdcc91ea4c8e80a38e.png

Мы нашли несколько пользователей, теперь давайте прогоним их через скрипт impacket GetNPUsers, он покажет нам, есть ли в нашем списке пользователи, которым не требуется предварительная аутентификация kerberos. Если у одного из пользователей этот атрибут установлен, это позволит нам получить хэш для этого пользователя, который мы сможем сломать. 15cff336b8d06043d7e39dbce3c77cee.png

Как видите, нам повезло, и у пользователя fsmith установлен аттрибут DONT_REQUIRE_PREAUTH, что позволяет нам получить его хэш и сломать его с помощью hashcat.

1

hashcat -m 18200 -a 0  loot/fsmith.krb5 /usr/share/wordlists/rockyou.txt -o loot/fsmith.recovered

9fbdc04c02a76e987f8f124cef130803.png

10948e3334043a73684c624ec48e626e.png

Мы получаем учетные данные для пользователя: fsmith:Thestrokes23.

Autologon

Мы проверяем их по SMB, который показывает нам несколько ресурсов, только один из них: RICOH является нестандартным, но у нас нет доступа к нему, так что продолжим. 8b3af34906fb47b49b23050fd629cc9d.png

Проверяем winrm, он нам доступен, так что забираем флаг пользователя. d8a1e9b0b461c9d4e8403f47d6a66081.png e9599cd11a7911c7e75f890b91a4e8a7.png

Когда мы запускаем winPEAS, он сообщает что в реестре сохранены учётные данные autologon. Имя пользователя svc_loanmanager очень похоже на учетную запись, которую мы уже видели, svc_loanmgr. c40f364175a439b7ea837274d15fa2a3.png

DCSync

Логинимся используя найденный пароль: svc_loanmgr:Moneymakestheworldgoround!

Давайте запустим Bloodhound и поищем векторы повышения привилегий с помощью этого пользователя.

c32c7e69890122fd641588d00ffa2968.png Мы видим, что захваченная нами учетная запись имеет права DCSync по отношению к домену, что, по сути, является функцией, позволяющей контроллерам домена синхронизироваться друг с другом. Мы можем воспользоваться этим правом с помощью mimikatz, сдампив LSASS, чтобы получить учетные данные.

9e1f4cb1833e9aafc65af9aba8dab523.png Как вы видите, у пользователя svc_loanmgr включена функция удаленного доступа, поэтому давайте запустим маяк от имени этого пользователя и сдампим lsass.

01c04d24d98b90b49bcaa2e43719b756.png Как видите, мы получили несколько хэшей, но никаких паролей открытым текстом. Нам не нужно взламывать этот хэш, чтобы получить shell от администратора. Мы можем просто передать хэш, в данном случае используя evil-winrm

5ce409c4f591accc96667915ba14e868.png И мы получаем shell от имени админа.

Запавнено!

Бонус

Kerberoasting

По неизвестным причинам, аккаунт hsmith явяляется сервисным, мы можем провести kerberoast атаку на него с помощью данных от FSmith но толку от этого ноль.

e6c3750df687be360f4b4f9414fe3aaa.png

1
2

hashcat -m 13100 --force -a 0 hashes.kerberoast /usr/share/wordlists/rockyou.txt

23c64eaf25e268af9b6901f3e7b91eca.png Такой же пароль? WTF XD

Shell от SYSTEM

Мы также можем получить шелл от NT AUTHORITY\SYSTEM с помощью PSexec на последнем шаге, он также позволяет передавать хэш.

Offensive, HTB
This post is licensed under CC BY 4.0 by the author.