Evil-Winrm
HackTheBox - Puppy
· ✍️ sckull
kerbrute ldap smb winrm evil-winrm nfs showmount bloodhound-ce GenericWrite net-rpc smbclient keepass keepass4brute.sh GenericAll pth-net bloodyAD ACCOUNTDISABLE smbserver windows-credentials-manager dpapi secretsdump
Puppy inicia con el analisis de informacion en bloodhound identificando usuarios, permisos y grupos explotables. Aprovechando estos se logro acceder a un recurso SMB que contenia un backup de KeePass, donde se extrajeron credenciales validas para un segundo usuario. Los permisos de este ultimo permitieron acceso por WinRM a un tercer usuario. Se encontro un backup de un sitio web que contenia credenciales para otro usuario. Finalmente, se obtuvieron credenciales locales protegidas por DPAPI de un usuario administrador, lo que permitio escalar privilegios.
HackTheBox - Puppy
HackTheBox - Fluffy
· ✍️ sckull
netexec bloodhound-ce GenericWrite GenericAll CVE-2025-24071 .library-ms responder pth-net certipy-ad shadow-credential-attack evil-winrm ESC16
Fluffy inicia con la enumeracion de recursos SMB para acceder a un PDF que documenta vulnerabilidades del sistema. Una de ellas permitio filtrar un hash NTLM a traves de un archivo .library-ms comprimido. El analisis con Bloodhound muestra permisos GenericAll y GenericWrite para un usuario, lo que permitio realizar Shadow Credentials attack a multiples usuarios para acceso por WinRM. Finalmente se identifico y exploto una plantilla vulnerable ESC16 para escalar privilegios.
HackTheBox - Fluffy
HackTheBox - Scepter
· ✍️ sckull
nfs showmount certificates openssl pkcs12 pfx2john certipy kerbrute bloodhound bloodhound-ce ESC9 netexec pth-net impacket-dacledit ldapadd evil-winrm dsacls altSecurityIdentities ESC14 X509IssuerSerialNumber impacket-secretsdump
En Scepter accedimos a un recurso de NFS que expone certificados, uno de estos permitio la autenticacion a traves de LDAP y permitio recolectar informacion con Bloodhound y Certipy. A traves de la explotacion de permisos y acceso a diferentes usarios identificamos y logramos la explotacion de ESC9 tras modificar el atributo de un usuario lo que nos dio acceso por WinRM. Dentro, identificamos 'ESC14', tras la explotacion de este se accedio a otro usuario. Este usuario puede realizar DCSync en el dominio a traves de este obtuvimos el hash del administrador para acceder por WinRM.
HackTheBox - Scepter
Hack The Box - Sauna
· ✍️ sckull
smbclient evil-winrm bloodhound aclpwn impacket
Sauna una maquina de HackTheBox, encontramos usuarios los cuales utilizamos para crear un wordlist personalizado y realizar ASREPRoast con Impacket lo que nos dio acceso por WinRM. Accedimos a un segundo usuario con una contraseña que encontramos en el registro de windows. Finalmente enumeramos con BloodHound y con la informacion recolectada obtuvimos acceso con ACLPwn para luego realizar Pass-the-Hash y obtener acceso privilegiado con PSExec.
Hack The Box - Sauna
Hack The Box - Monteverde
· ✍️ sckull
azureAD enum4linux smbmap evil-winrm
Monteverde expone SMB y LDAP donde obtuvimos una lista de usuarios los cuales utilizamos como contraseña para enumerar SMB y obtener credenciales almacenadas que nos dieron acceso por WinRM. El usuario pertenece al grupo Azure Admins lo que permitio conectarnos a la base de datos y obtener credenciales para obtener acceso privilegiado.
Hack The Box - Monteverde
Hack The Box - Resolute
· ✍️ sckull
enum4linux evil-winrm metasploit impacket
Resolute con SO Windows expone Samba y Ldap, lo que nos dio informacion para ingresar por WinRM. Encontramos credenciales en un archivo para tener acceso a un segundo usuario. Encontramos que el usuario petenece al grupo DnsAdmins, configuramos dnscmd con un payload de metasploit para conseguir una shell como administrador.
Hack The Box - Resolute
Hack The Box - Forest
· ✍️ sckull
enum4linux kerberos smbmap impacket evil-winrm bloodhound aclpwn
Forest de HackThebox. Encontramos una lista de usuarios con enum4linux los cuales utilizamos con Impacket para realizar AS-REP Roasting attack con lo cual obtuvimos credenciales y acceso por WinRM. Con BloodHound enumeramos y con Aclpwn obtuvimos privilegios administrativos para luego dumpear los hashes y finalmente realizar Pass-the-Hash para obtener una shell como administrador.
Hack The Box - Forest