WriteUp CTF VulnNet-Roasted de Try Hack Me

Introducción

El CTF de Try Hack Me, VulnNet-Roasted, es una máquina Windows que implica 3 ataques de Active Directory (AS-REP Roasting, Kerberoasting y DC Sync). Comenzamos descubriendo que tenemos acceso al recurso $IPC de manera anónima, lo que significa que podemos enumera los usuarios del dominio con la ayuda de Impacket-lookupsid. Luego pasamos una lista de usuarios a Kerberos y realizamos el ataque AS-REP Roasting. En este momento, obtenemos un hash KRB5 ASREP que descifraremos utilizando hashcat. Con las credenciales obtenidas, realizamos un ataque de kerberoasting y obtendremos un hash KRB5 TGS, que descifraremos, para poder acceder a la máquina víctima utilizando Evil-WinRM. En este momento, descubrimos que tenemos acceso de lectura a otro recurso compartido que contiene un script Visual Basic que contiene credenciales codificadas que un usuario que resulta ser el administrador del dominio. Realizaremos un ataque DC Sync para obtener el hash de administrador e iniciar sesión en la máquina utilizando la tool Evil-WinRM.

Enumeración de servicios abiertos

Comenzamos realizando un escaneo de los servicios abiertos utilizando la tool scanports.sh

Del escaneo con scanports, obtenemos que le nombre de dominio es vulnnet-rst.local.

Enumeración de recursos compartidos de SMB

Dado que IPC$ es legible, podemos enumerar usuarios de dominio utilizando la tool impacket-lookupsid.

Ahora vamos a extraer los usuarios de la lista generada anteriormente.

Ataque AS-REP Roasting

Podemos utilizar para ello la tool impacket-GetNPUsers, que sirve poara verificar si hay nombres de usuario válidos y que no requieran la autenticación previa de Kerberos.

Donde obtenemos el siguiente hash:

$krb5asrep$23$t-skid@VULNNET-RST.LOCAL:204785456cf3880867693722bab154e2$40685324fa62fe567d9a5d5d89d9f0d6e8e610d6cc39ad8f29ebf0e1ee3e1445c5362b62e20818682ad6075ee9b4b26b80cb7141c07360ef6ab055ad662ff0fa6359843e60aabadfd5db795caca924f67867b844f3864096d66c95c868c5e3dd839d6b0237caad46c456c7370991a0fa4b55a02f9b01f836e7c27b289b266340d9f87b4cc093c5a8dd8ac3019026c622abd8c03f3b2a0dd41b57836544ccc3e600e531953593b8c0994d0c0c42768f05a69ceaafc694470eb5a687560983bbfdf608032e25f5e3a2161f6e9c529b99fb4bb2323e23905faf68cc5ac720a9853ab0d0a41b04c8f7bc44b32a9161a422aa87408564e6

Descifrando el hash KRB5 AS-REP usando hashcat

Hashcat pudo descifrar el hash. La contraseña de la cuenta t-skid es tj072889*

Realización de Kerberoasting con las credenciales de t-skid

Dado que ahora tenemos un conjunto contraseña-usuario válido, podemos realizar un ataque de kerberoasting para obtener un hash KRB5 TGS para los nombres del SPN del dominio que se utilizan para identificar las cuentas de servicio en Microsoft Windows.

Descifrando el hash KRB5 TGS ​​usando hashcat

Crackmapexec dice (¡Pwn3d!) para WINRM, podemos iniciar sesión a través de EvilWinRM en la máquina objetivo. Y obtendremos la flag de usuario.

Escalada de privilegios

Descubrimos que tenemos acceso de lectura a los recursos compartidos smb de NETLOGON y SYSVOL con credenciales del usuario enterprise-core-vn.

Encontramos credenciales codificadas en un script básico visual a-whitehat:bNdKVkjv3RR9ht

Como estamos en el grupo de administradores de dominio, deberíamos poder restablecer la contraseña de la cuenta de administrador.

En este momento, podremos acceder con credenciales de administrador.

Y encontramos la flag system.txt.