¡Bienvenidos de nuevo a Who Is Secure! Últimamente he estado haciendo todas las máquinas que tienen en TryHackMe de directorio activo y hoy os traigo el writeup de una, Enterprise.
Para empezar, realizamos un escaneo de nmap para descubrir los puertos abiertos y sus servicios.
Si echamos un vistazo en los puertos abiertos que tienen un servicio http en ellos, vamos a ver en el puerto 7990 algo curioso.
Vamos a buscar en Github si hay algo interesante.
Si entramos al dueño del repositorio vemos que es una organización en la que participa "Nik-enterprise-dev". En su perfil vemos un scripts en powershell en el que se menciona un nombre de usuario y contraseña, pero ambos campos están vacíos. Vamos a revisar el historial del repositorio.
Al subir el script se habían dejado un usuario y contraseña escritos que podemos probar para obtener información del sistema. En este caso vamos a ejecutar GetUserSPNs de Impacket.
Con esto, obtenemos el hash del usuario bitbucket. A continuación identificamos el tipo de hash que hemos obtenido y realizamos fuerza bruta.
Ahora entramos con el escritorio remoto con el usuario bitbucket.
Y obtenemos la flag de usuario.
Para ver cómo escalamos privilegios vamos a ejecutar winPEAS en la máquina víctima. Para pasarnos el archivo de nuestro host a ella vamos a levantar un servidor ftp con python (sudo python -m pyftpdlib -p 100) y nos conectamos.
Ahora que lo tenemos disponible, lo ejecutamos para enumerar información.
Me llamó la atención la parte que muestro en la captura superior, hay servicios que ejecutan exes cuya ruta no está entrecomillada. Cuando un servicio llama a un ejecutable de esta forma lo que hace es probar de forma recursiva si cada carpeta indicada es un ejecutable (teniendo en cuenta sólo la primera palabra, sin el espacio que las separa). Si podemos escribir en esta ruta podemos forzar al sistema que ejecute el exe que queramos.
Vamos a generar un ejecutable que nos mande una reverse shell con msfvenom y lo compartimos vía ftp.
Ahora, dejando un puerto a la escucha en nuestro host, vamos a la máquina víctima y recibimos el exe. Tras esto, reiniciamos el servicio.
Y hemos recibido la conexión.
Ahora tenemos acceso como administrador en el controlador de dominio y podemos coger la flag.
Muchas gracias a todos una vez más por leerme. Espero que os haya gustado la entrada y hayáis aprendido algo nuevo al igual que lo he hecho yo, que era la primera vez que toco un directorio activo. ¡Hasta la próxima!
No hay comentarios:
Publicar un comentario