RunasCs
HackTheBox - Mirage
· ✍️ sckull
nfs dns kerbrute nsupdate nats nats-server wireshark bloodhound kerberoasting ForceChangePassword gmsa winrm bloodyAD RunasCs logon-hours certipy ESC10 RBCD
Mirage inicia en el servicio NFS, donde se encontraron dos archivos que indican configuraciones, comandos y software utilizado. Se identifico una configuracion en el servidor DNS que permitia agregar registros, esto permitio la captura de credenciales para el servidor NATS donde posteriormente se extrajeron otro par de credenciales para recabar informacion para Bloodhound. Con el analisis en este ultimo se logro el acceso a diferentes usuarios a traves de grupos, usuarios y permisos. Finalmente, se logro identificar la configuracion y requisitos para explotar ESC10 para escalar privilegios.
HackTheBox - Mirage
HackTheBox - Voleur
· ✍️ sckull
bloodhound netexec-spider_plus xlsx office2john getTGT bloodyAD GetUserSPNs Kerberoast winrm RunasCs Restore-ADObject Windows-Credentials-Manager dpapi secretsdump ntds
En Voleur se descubrio un archivo XLSX protegido con credenciales de usuarios. Con el analisis de bloodhound se identifico un usuario al que se realizo Kerberoasting permitiendo el acceso por WinRM. Se accedio a otro usuario a traves de runas donde se restauro un usuario eliminado. Con este ultimo se obtuvieron credenciales locales protegidas por DPAPI. Estas dieron acceso a una clave privada SSH. Tras acceder con esta, se descubrio un backup de la base de datos de Active Directory con archivos de registro los cuales permitieron escalar privilegios.
HackTheBox - Voleur
HackTheBox - Pov
· ✍️ sckull
path-traversal c# PSCredential Invoke-Command Deserialization ysoserial.net SeDebugPrivilege chisel WinRM psgetsys RunasCS meterpreter
En Pov logramos la lectura de la configuracion de la aplicacion web por medio de path traversal, lo que nos permitio explotar una vulnerabilidad de deserializacion con la tool ysoserial y acceso a un primer usuario. Accedimos a un segundo usuario con las credenciales dentro de un archivo xml. Finalmente escalamos privilegios tras migrar a un proceso privilegiado en WinRM y Metasploit.
HackTheBox - Pov