smbclient
Hack The Box - Sauna
· ✍️ sckull
Sauna una maquina de HackTheBox, encontramos usuarios los cuales utilizamos para crear un wordlist personalizado y realizar ASREPRoast con Impacket lo que nos dio acceso por WinRM. Accedimos a un segundo usuario con una contraseña que encontramos en el registro de windows. Finalmente enumeramos con BloodHound y con la informacion recolectada obtuvimos acceso con ACLPwn para luego realizar Pass-the-Hash y obtener acceso privilegiado con PSExec.

TryHackMe - Anonymous
· ✍️ sckull
Anonymous es una maquina de TryHackMe, dentro del servicio FTP encontramos un script que realiza una "limpieza", supusimos que este era ejecutado por algun cron por lo que reemplazamos su contenido con una shell inversa para obtener acceso. Utilizando el comando env con permisos SUID obtuvimos acceso como root.

Hack The Box - Nest
· ✍️ sckull
Tras enumerar SAMBA encontramos credenciales para un segundo recurso donde descubrimos una contraseña encriptada y proyecto de Visual Studio, con este ultimo logramos desencriptar la contraseña. Con ello ingresamos a un nuevo recurso donde encontramos Alternative Data Streams en un ejecutable, dentro de este encontramos una contraseña que utilizamos en un servicio de reporteria, utilizamos DNSPY en un ejecutable para leer el codigo fuente lo que nos permitio conseguir la contraseña del administrador y obtener acceso privilegiado utilizando psexec de Impacket.

Hack The Box - Bastion
· ✍️ sckull
Bastion es una maquina con dificultad facil, tiene un Disco Duro Virtual (VHD) expuesto en recurso de SAMBA, utilizando Windows montamos el disco y obtuvimos los hashes con mimikatz seguidamente con John una contraseña lo que nos dio acceso al servicio SSH. Importando el archivo de configuracion de mRemoteNG nos permitió obtener credenciales y escalar privilegios.

Hack The Box - Arkham
· ✍️ sckull
Arkham de HackTheBox con SO Windows, Encontramos un backup en SMB encriptado con binwalk obtuvimos archivos, uno de ellos es la configuracion de la "applicacion", mediante este ultimo explotamos una vulnerabilidad de deserializacion en java utilizando el codigo de Apache MyFaces junto con ysoserial, lo que nos dio acceso a la maquina. Para el movimiento lateral utilizamos powershell con credenciales de borradores de correo electronico dentro de un backup. Finalmente cambiando de recurso compartido localmente logramos acceder a la carpeta del administrador.