Winsad

Winsad

I am an amazing person. Don’t forget to follow me on my networks for more news.

Active - Hack The Box

2 minute read

  2 minute read

La máquina Active es una máquina virtual vulnerable de la plataforma HackTheBox con un nivel de dificultad Medium una calificación en el rank de 5.0, 10316 USER OWNS y 9254 SYSTEM OWNS con la ip 10.10.10.100 y un sistema operativo Windows.

Port Scan

Para empezar, hice un escaneo con la herramienta Nmap para encontrar los puertos abiertos disponibles en la máquina con [Ip:10.10.10.100] utilizando los parámetros:

  • -p-: Escaneo a toda la gama de puertos (65536).
  • -n: No hacen la resolución del DNS.
  • -T5: El parámetro más agresivo y ruidoso pero más rápido para hacer una exploración rápida.
  • –open: Muestra sólo los puertos con un estatus abierto.

  • -oG: Guarda la el output en formato Grepeable.

    Una vez que hicimos el escaneo de puertos con la herramienta ExtractPorts, vemos que los puertos que destacaron en este caso fueron 53,88,135,139,389,445,464,593,636,3268,3269,5722,9389,47001,49152,49153,49154,49155,49157,49158,49169,49171,49182:

    Ya identificados los puertos abiertos, realizaremos un escaneo de versiones y servicios de estos puertos con la herramienta nmap configurando los siguientes parámetros:

    • -sC: Script de enumeración básica de sondeo en puertos y servicios alojados.
    • -sV: Detección de versiones en servicios alojados en puertos.
    • -p : Puertos a inspeccionar.
    • -oN: Formatos de Nmap en los que se guardará el archivo.

    Con este escaneo se puede ver que la maquina cuenta con una gran cantidad de puertos abiertos, lo que haré primero sera examinar el puerto 445 que pertenece a smb para esto usare la herramienta de smbcliet entrando con una null sesión.

    Usando la herramienta smbmap para verificar los permisos que tenemos sobre los recursos compartidos a nivel de smb se puede ver que tenemos permisos READ en el recurso Replication.

    Ya sabiendo esto haciendo una búsqueda recursiva se puede ver que existe un recurso Groups y en el se encuentra un archivo Groups.xml.

    Al descargarlo y ver el contenido se puede ver una contraseña cifrada y un usuario llamado SVC_TGS

    Si investigamos podemos llegar con un articulo el cual nos cuenta la historia de como Microsoft publico la key privada con la cual se cifran las contraseñas en AES-256 lo cual nos permite descifrar estas contraseñas para verla en plain text (Articulo aqui).

    Sabiendo esto podemos usar la herramienta de gpp-decrypt para descifrar esta password.

    Ya teniendo la contraseña en texto plano puedo usarla para efectuar un ataque Kerberoasting que consiste en solicitar un ticket TGS el cual tiene un hash NTLM que usualmente esta ligado a usuarios con altos privilegios y así con este hash crackearlo y obtener la contraseñas de los usuarios.

Gracias al ataque de Kerberoasting podemos ver que la cuenta del el usuario administrador es vulnerable a este ataque por lo que logramos obtener el hash TGS del usuario administrador.

Para conseguir descifrar la contraseña del usuario administrador haré uso de la herramienta john para crackear el hash y obtener la contraseña en texto plano de el ticket TGS.

Como se puede ver la contraseña que logramos crackear es Ticketmaster1968 y sabiendo que es del usuario administrador usare la herramienta de crackmapexec para verificar si tengo capacidad de psexec la cual nos permitirá acceder a la maquina como el usuario administrador.

Como se observa la herramienta me muestra un “PWn3d!” lo que significa que puedo acceder a la maquina mediante la herramienta psexec.

Y efectivamente las credenciales son validas para acceder al equipo como NT AUTHORITY\SYSTEM el cual es el usuario con máximos privilegios en los equipos Windows.