📘Escenario 2
Como complemento a su prueba de penetración anual, la organización INLANEFREIGHT le ha solicitado que realice una revisión de seguridad de su imagen dorada estándar de Windows 10, actualmente en uso por más de 1200 empleados en todo el mundo. El nuevo CISO teme que no se hayan seguido las mejores prácticas al establecer la línea base de la imagen, y que la compilación pueda contener uno o más vectores de escalada de privilegios locales. Sobre todo, el CISO desea proteger la infraestructura interna de la empresa, garantizando que un atacante que acceda a una estación de trabajo (por ejemplo, mediante un ataque de phishing) no pueda escalar privilegios ni usar ese acceso para desplazarse lateralmente por la red. Debido a los requisitos regulatorios, los empleados de INLANEFREIGHT no tienen privilegios de administrador local en sus estaciones de trabajo.
Se le ha otorgado una cuenta de usuario estándar con acceso RDP a una copia de una estación de trabajo Windows 10 estándar sin acceso a internet. El cliente solicita una evaluación lo más completa posible (probablemente contratará a su empresa para probar o intentar eludir los controles EDR en el futuro); por lo tanto, Defender se ha desactivado. Debido a las regulaciones, no pueden permitir el acceso a internet al host, por lo que deberá transferir las herramientas usted mismo.
Enumere el host por completo e intente escalar privilegios al acceso de nivel de administrador/SYSTEM.
Objetivo: 10.129.43.33
RDP con usuario "htb-student" y contraseña "HTB_@cademy_stdnt!"Ya que estamos ante una máquina Windows crearemos un disco compartido con nuestra máquina Kali Linux para facilitarnos el envío de herramientas:
xfreerdp /v:10.129.43.33 /u:htb-student /p:HTB_@cademy_stdnt! /drive:linux,/tmp
Pregunta 1
Encuentra las credenciales en plano para la cuenta de administrador del dominio
iamtheadministrator.
No tenemos Powershell como admin, por lo que usaremos la cuenta standard.
Enumeración de Administradores
Credential Hunting
Buscando archivos unattend.xml encontramos las credenciales del usuario iamtheadministrator:
Pregunta 2
Escala privilegios a SYSTEM y envía el contenido del archivo
flag.txten el Escritorio del Administrador
Comprobar privilegios del usuario
Enumerar configuraciones "Always Install Elevated"
Nuestra enumeración nos muestra que la key AlwaysInstallElevated existe, por lo que la política está habilitada en el sistema de destino.
Generar binario msi malicioso
Para explotar esto generemos un binario malicioso aie.msi que pueda usarse para obtener una conexión de reverse shell de Meterpreter desde nuestro objetivo.
Envio a la máquina
Abrir listener de Netcat
Ejecutar aie.msi malicioso
Moveremos el binario a C:\Users\Public para ejecutarlo:
Recibimos la Shell SYSTEM
Acceso a la flag
Pregunta 3
Hay un usuario administrador local deshabilitado en este sistema con una contraseña débil que podría usarse para acceder a otros sistemas de la red y que conviene informar al cliente. Tras aumentar los privilegios, recupera el hash NTLM de este usuario y crackealo sin conexión. Envía la contraseña en texto plano de esta cuenta.
Enviamos Mimikatz al objetivo y lo ejecutamos desde la Shell SYSTEM:
Obtenemos los hashes NTLM de los usuarios:
Vamos a guardar los 3 hashes en un archivo hashes.txt y a crackearlo con John:
Obtenemos la contraseña en plano para el usuario Administrator y mrb3n, ya que es el mismo hash!
Última actualización
¿Te fue útil?