Sauna
Última actualización
¿Te fue útil?
Última actualización
¿Te fue útil?
Sauna es una máquina Windows de dificultad fácil que cuenta con enumeración y explotación de Active Directory. Los posibles nombres de usuario se pueden derivar de los nombres completos de los empleados que figuran en el sitio web. Con estos nombres de usuario, se puede realizar un ataque ASREPRoasting, que da como resultado un hash para una cuenta que no requiere autenticación previa de Kerberos. Este hash se puede someter a un ataque de fuerza bruta fuera de línea, con el fin de recuperar la contraseña de texto simple para un usuario que puede usar WinRM en el equipo
La ejecución de WinPEAS revela que otro usuario del sistema se ha configurado para iniciar sesión automáticamente e identifica su contraseña. Este segundo usuario también tiene permisos de administración remota de Windows. BloodHound revela que este usuario tiene el derecho extendido DS-Replication-Get-Changes-All, que le permite volcar hashes de contraseñas del controlador de dominio en un ataque DCSync. Al ejecutar este ataque se devuelve el hash del administrador del dominio principal, que se puede usar con psexec.py de Impacket para obtener un shell en el equipo como NT_AUTHORITY\SYSTEM.
Comenzaremos a realizar un escaneo de todos los puertos abiertos de la máquina víctima.
Procederemos a extraer los puertos con nuestra función extractPorts para tenerlos copiados en la clipboard
Procederemos a lanzar scripts de Nmap para intentar descubrir algunas vulnerabildades sobre los puertos abiertos que hemos encontrado. Hemos encontrado el nombre del AD (EGOTISTICAL-BANK.LOCAL).
Procederemos a añadir en nuestro archivo /etc/hosts el nombre del dominio con la IP de la máquina.
Probaremos de acceder al sitio web para ver que nos encontramos, a primera vista no encontramos nada interesante.
Procederemos a intentar a realizar la enumeración de usuarios del AD a través de diferentes métodos.
Como hemos visto que Kerberos (Port 88) estaba expuesto, a través de la herramienta de Kerbrute procederemos a enumerarlos a través de un diccionario de secLists. Después de un buen rato, solamente hemos podido encontrar 3 usuarios. Tomaremos nota de dichos usuarios.
Investigando la página web, nos encontramos que existe una página donde indican los nombres de los empleados de la empresa, esto nos puede servir útil para intentar descubrir posibles usernames a través de sus nombres, apellidos, etc.
Procederemos a crear un archivo llamado "users.txt" en el cual pondremos los nombres y apellidos de los usuarios encontrados en el sitio web.
Con el Impacket de GetNPUsers.py procederemos a realizar un ataque para enumerar usuarios con el atributo de autenticación previa don't require Kerberos (DONT_REQ_PREAUTH). Lo que realiza este comando es recorrer línea por línea el archivo generado en el paso anterior para probar con todos los usuarios.
Procederemos a comprobar el resultado del ataque, el archivo "hash.txt". Comprobaremos que hemos obtenido un tiquet GTG para el usuario "fsmith" con su respectivo hash de Krb5.
Procederemos a guardarnos el hash del usuario "fsmith" en un archivo nombrado "fsmith.hash"
Comprobaremos que se nos ha guardado correctamente el contenido del hash en el archivo creado.
A través de la herramienta de hashcat procederemos a intentar desencriptar el hash encontrado a través de un diccionario, para que vaya probando todas las contraseñas del diccionario para ver si alguna al generar el hash coincide con el hash del usuario.
Finalmente nos encontramos que la contraseña ha estado crackeada.
Una vez obtenida la contraseña del usuario "fsmith", como hemos visto que el servicio de WinRM estaba expuesto, procederemos con evil-winrm de conectarnos con las credenciales conectadas. Comprobamos que hemos podido acceder sin problemas y hemos encontrado la flag de "user.txt".
Tendremos que tener abierto el evil-winrm des de donde disponemos el ejecutable de winPEAS.exe para asi ejecutar el "upload" a la máquina. Una vez subido en la máquina, procederemos a ejecutarlo.
Comprobaremos que hemos encontrado un AutoLogon con las credenciales de un usuario.
El DCSync Attack es una técnica de ataque utilizada en el ámbito de la ciberseguridad para obtener contraseñas y otros secretos almacenados en el controlador de dominio de un entorno de Active Directory. Esta técnica se basa en la funcionalidad de replicación de Active Directory y permite a un atacante que tenga ciertos privilegios obtener hashes de contraseñas y otros datos de cuentas, incluyendo cuentas de administrador.
Procederemos a través del Impacket-secretsdump de obtener los hashes NTLM y Kerberos del DC con el usuario que hemos encontrado y su respectiva contraseña.
Comprobamos que nos ha dumpeado el hash de la cuenta de "Administrator".
Una vez obtenido el hash del usuario "Administrator", procederemos a conectarnos al WinRM con evil-winrm indicando que queremos acceder con el usuario "Administrator" y el hash encontrado.
Comprobaremos que ganamos acceso a la máquina como usuario Administrator y la flag del "root.txt".
A través de la herramienta de procederemos a generar posibles nombres de usuario a través de combinaciones de sus nombers y apellidos, etc.
