Enumération
Bon, c’est un ctf, donc on va commencer avec une commande nmap un peu brutal :
nmap -T5 -p- 10.10.128.107
Elle donne nous le résultat que de la capture qui suit. On peut voir que les ports SMB, DNS, Kerberos sont ouverts. Ça a tout l’air d’être une machine sous Windows, avec possiblement un domaine.
Enumération SMB
On va commencer avec enum4linux qui permet d’effectuer tout une série de test sur SMB.
Commandes :
enum4linux 10.10.128.107
Il n’y a pas de résultat probant si ce n’est le nom de domaine VULNNET-RST
Vérifications si des partages sont existants avec smbclient
Commandes :
smbclient -L \\10.10.128.107
Tentative d’accès au partage VulnNet Business, toujours avec smbclient
Commandes :
smbclient \\\\10.10.128.107\\VulnNet-Business-Anonymous
Récupération des fichiers avec la commande mget *
On fait la même chose avec l’autre partage VulnNet-Entreprise
Finalement, c’est deux partages sont plus des rabbit hole qu’autre chose. La seule information récupérée est une liste de nom de personne. C’est probablement des utilisateurs, mais ce n’est pas leur vrai login de session. Donc ça ne sert a à pas grand-chose. D’autant plus que dans mon énumération, je n’ai pas utilisé smbmap mais smbclient. J’aurais dû le faire en 1ier, cela m’aurait évité de perdre du temps et de voir la liste des partages avec leurs permissions.
Énumération des utilisateurs.
Il faut récupérer tous les noms d’utilisateurs qui apparaissent et les mettre dans un fichier pour ensuite essayer de récupérer le hash de leur mot de passe avec GetNPUsers.py
Liste des utilisateurs :
enterprise-core-vn
a-whitehat
t-skid
j-goldenhand
j-leet
Domaine :
VULNNET-RST\
Commandes :
python GetNPUsers.py ‘VULNNET-RST/’ -usersfile user.txt -no-pass -dc-ip 10.10.128.107
On récupère le hash de l’utilisateur t-skid. On va ensuite cracker son mot de passe avec hashcat
Cassage du hash
Avec hashcat et powershell
Commandes :
.\hashcat64.exe -m 18200 hash2.txt rockyou.txt
Avec les identifiants obtenus, on va essayer de voir si on peut récupérer d’autres identifiants.
Commandes :
python GetUserSPNs.py ‘VULNNET-RST.local/t-skid:redacted‘ -dc-ip 10.10.128.107 -outputfile test.txt
On obtient un nouveau hash pour l’utilisateur enterprise-core-vn . On va également le cracker avec hashcat
Commandes :
.\hashcat64.exe -m 13100 hash2.txt rockyou.txt
Il faut ensuite se connecter au système pour récupérer le fichier user.txt.
User.txt
Avec les identifiants récupérer, on se connecte avec winrm
Commandes :
ruby evil-winrm.rb -i 10.10.128.107 -u ‘enterprise-core-vn’ -p ‘redacted‘
Énumération avec l'utilisateur enterprise-core-vn
On recommence l’énumération cette fois-ci directement avec smbmap.
Commandes :
smbmap -H 10.10.128.107 -u ‘enterprise-core-vn’ -p ‘redacted’
Le partage sysvol est accessible en lecture. On va se connecter dessus avec smbclient et voir si on peut récupérer des informations.
Commandes :
smbclient //10.10.86.168/SYSVOL –user=enterprise-core-vn
Dans le fichier ResetPasswords, on peut récupérer les identifiants d’un autre utilisateur qui va nous permettre de récupérer le fichier system.txt
Commandes :
python3 psexec.py a-whitehat:redacted@10.10.202.196
