Netexec
HackTheBox - TheFrizz
· ✍️ sckull
Gibbonv25 lfi php php-fopen mysql chisel netexec bloodhound-python impacket-getTGT ssh-kerberos backup wapt password-spraying GPO-abuse evil-GPO SharpGPOAbuse mimikatz hashcat
TheFrizz corre Gibbon con una version vulnerable que tras un analisis de codigo logramos la ejecucion de comandos. Realizamos Port Forwarding para acceder al puerto de la base de datos y obtener credenciales en esta que permitieron ingresar por SSH mediante Kerberos. Descubrimos una contrasena dentro de un backup para el acceso a un segundo usuario. Este ultimo, pertenece al grupo 'Group Policy Creator Owners' por lo que creamos un objeto 'vulnerable' para luego con SharpGPOAbuse ejecutar comandos que finalmente nos dio acceso como administrador.
HackTheBox - TheFrizz
HackTheBox - Nocturnal
· ✍️ sckull
odt ffuf sqlite netexec command injection crlf-injection ISPConfig CVE-2023-46818
Nocturnal expone un sitio web para administar archivos donde realizamos la enumeracion de usuarios y archivos. Entre estos encontramos una contrasena que nos dio acceso al dashboard de administracion. Logramos acceder a la maquina mediante el backup del sitio y Command Injection en la creacion de un backup. Finalmente escalamos privilegios tras explotar una vulnerabilidad en ISPConfig.
HackTheBox - Nocturnal
HackTheBox - Scepter
· ✍️ sckull
nfs showmount certificates openssl pkcs12 pfx2john certipy kerbrute bloodhound bloodhound-ce ESC9 netexec pth-net impacket-dacledit ldapadd evil-winrm dsacls altSecurityIdentities ESC14 X509IssuerSerialNumber impacket-secretsdump
En Scepter accedimos a un recurso de NFS que expone certificados, uno de estos permitio la autenticacion a traves de LDAP y permitio recolectar informacion con Bloodhound y Certipy. A traves de la explotacion de permisos y acceso a diferentes usarios identificamos y logramos la explotacion de ESC9 tras modificar el atributo de un usuario lo que nos dio acceso por WinRM. Dentro, identificamos 'ESC14', tras la explotacion de este se accedio a otro usuario. Este usuario puede realizar DCSync en el dominio a traves de este obtuvimos el hash del administrador para acceder por WinRM.
HackTheBox - Scepter