Responder
HackTheBox - NanoCorp
· ✍️ sckull
hashgrab responder netexec bloodhound bloodyAD impacket-getTGT winrmexec RunasCs Checkmk CVE-2024-0670 checkmk-agent msiexec msfvenom metasploit mimikatz .library-ms
En NanoCorp se capturo el hash de un primer usuario con la carga de un archivo zip malicioso. Tras crackear el hash, se realizo una enumeracion de Active Directory con bloodhound, esto permitio identificar una ruta de explotacion para un segundo usuario. Se descubrio Check MK y una vulnerabilidad que afectaba a este software. Esta vulnerabilidad era explotable por el primer usuario por lo que se ejecuto RunasCs para obtener una shell inversa y, finalmente, tras su explotacion, se logro la escalada de privilegios.
HackTheBox - NanoCorp
HackTheBox - Eighteen
· ✍️ sckull
mssql xp_dirtree responder enum_logins exec_as_login pbkdf2-hmac-sha256 hashcat metasploit password-spraying winrmexec tunneling evil-winrm-py ligolo-ng bloodyAD BadSuccessor BadSuccessor.ps1 Rubeus ticketConverter secretsdump
Eighteen expone el servicio MSSQL donde, descubrimos credenciales que permitieron el acceso por WinRM. Se ejecuto ligolo para exponer los puertos locales. Al enumerar los permisos del usuario, se identifico una configuracion de permisos en Active Directory que permitio realizar el ataque BadSuccessor, logrando la escalada de privilegios.
HackTheBox - Eighteen
HackTheBox - Signed
· ✍️ sckull
mssql xp_dirtree xp_cmdshell responder ntlmv2-hash mssql-enum_logins mssql-sysadmin metasploit metasploit-mssql silver-ticket impacket-ticketer impersonate-silver-ticket mssql-execute-as impersonate-execute-as RunasCs mimikatz
Signed expone el servicio MSSQL, con acceso a este logramos capturar el hash NTLM de un primer usuario. Con este, descubrimos un login de un grupo con el rol de sysadmin. Suplantamos la identidad de este a traves de Silver Ticket, lo que nos dio acceso inicial. Tras la creacion de un ticket nuevo con el grupo de Domain Admins logramos leer archivos y, a traves de 'execute as' listar archivos, con esto, logramos obtener credenciales en el historial del administrador para finalmente ejecutar una shell inversa para este usuario.
HackTheBox - Signed
HackTheBox - Fluffy
· ✍️ sckull
netexec bloodhound-ce GenericWrite GenericAll CVE-2025-24071 .library-ms responder pth-net certipy-ad shadow-credential-attack evil-winrm ESC16
Fluffy inicia con la enumeracion de recursos SMB para acceder a un PDF que documenta vulnerabilidades del sistema. Una de ellas permitio filtrar un hash NTLM a traves de un archivo .library-ms comprimido. El analisis con Bloodhound muestra permisos GenericAll y GenericWrite para un usuario, lo que permitio realizar Shadow Credentials attack a multiples usuarios para acceso por WinRM. Finalmente se identifico y exploto una plantilla vulnerable ESC16 para escalar privilegios.
HackTheBox - Fluffy
HackTheBox - Manager
· ✍️ sckull
SMB RPC crackmapexec impacket impacket-lookupsid impacket-secretsdump responder xp_dirtree web-backup winRM adcs esc7 certipy
En Manager realizamos una enumeracion de usuarios por SIDs, nos permitio acceder por MSSQL y a su vez realizar una enumeracion con xp_dirtree donde descubrimos un backup del sitio, dentro, encontramos credenciales que nos dieron acceso por WinRM. Finalmente escalamos privilegios tras explotar una vulnerabilidad en ADCS.
HackTheBox - Manager
HackTheBox - Authority
· ✍️ sckull
PWM-project smb ansible ansible2john ldap responder adcs certipy addcomputer.py winrm PassTheCert
En Authority encontramos informacion encriptada por Ansible en los recursos de SAMBA, tras obtener credenciales en texto plano accedimos a PWM, en este, realizamos cambios a la configuracion de LDAP logrando interceptar credenciales a LDAP. Tras enumerar ADCS con Certipy encontramos una vulnerabilidad ESC1, un usuario no puede realizar la explotacion por lo que realizamos el registro de una computadora con AddComputer, tras modificar el usuario con PassTheCert logramos escalar privilegios.
HackTheBox - Authority
Hack The Box - StreamIO
· ✍️ sckull
sqli time-based SQL Server python responder bloodhound bloodhound.py powershell powerview invoke-command new-PSSession ffuf kerbrute hydra mssqlclient chisel firefox LAPS out-of-band lfi rfi code injection
En StreamIO descubrimos y explotamos una vulnerabilidad SQLi la cual nos permitió acceder a un panel de administración, en este ultimo encontramos una vulnerabilidad LFI, en consecuencia RFI y Code Injection lo que nos dió acceso a un primer usuario. Tras enumerar las bases de datos obtuvimos credenciales para un segundo usuario. Credenciales en un perfil de Firefox nos permitió ingresar con un tercer usuario. Finalmente con los permisos de este último realizamos la lectura de la contraseña en LAPS para acceder como administrador.
Hack The Box - StreamIO
Hack The Box - Driver
· ✍️ sckull
scf winrm printnightmare powershell responder winpeas
En driver encontramos un sitio web que nos permite subir archivos a un recurso compartido de SMB, utilizamos un archivo sfc lo que nos permitió obtener el hash de un primer usuario y acceso por WinRM. Finalmente escalamos privilegios explotando la vulnerabilidad del servicio spool con PrinterNightmare.
Hack The Box - Driver
Hack The Box - Intelligence
· ✍️ sckull
dnsscan exiftool password-spraying smb crackmapexec adidns krbrelayx responder bloodhound gmsadumper impacket
En Intelligence realizamos una enumeracion de usuarios en los metadatos de PDFs para luego realizar 'Password Spraying' lo que nos dio acceso a un primer usuario. Encontramos un script en un recurso de samba lo que nos permitió obtener el hash de un segundo usuario tras ejecutar Responder y krbrelayx. Bloodhound nos mostró que uno de los usuarios tiene la caracteristica de leer constraseñas de cuentas gMSA, este ultimo tambien tiene caracteristicas 'Delegation' sobre el DC, con esta informacion obtuvimos acceso como administrador con gMSADumper y impacket.
Hack The Box - Intelligence