HackTheBox - Resolute - Writeup

  • Konbuyu başlatan Konbuyu başlatan mao7un
  • Başlangıç tarihi Başlangıç tarihi

mao7un

VM Creator
Moderatör
Katılım
22 Ocak 2024
Mesajlar
26
Tepkime puanı
40
Puanları
13
Herkese merhabalar. Bu yazımda HackTheBox platformunda emekliye ayrılmış olan Resolute makinesinin çözümünü anlatacağım. İyi okumalar.


Nmap taraması ile başlıyorum.

1.png


Çıktı bu fotoğraftan daha fazla.

Ben numaralandırmaya SMB ile başlıyorum. İlk olarak SMB sunucusunu Anonymous olarak listelemek istiyorum, ancak başarısız oluyorum.

2.png


SMB sunucusuna anonim olarak herhangi bir işlem yapamadığım için doğrudan LDAP sunucusunu enumerate etmeye başlıyorum.
İlk olarak, genel bir enumeration tekniği uygulamak için bir Nmap scripti kullanıyorum.

nmap -sV --script "ldap* and not brute" 10.10.10.169

Bu komut sonrasında elime bir domain geçiyor --> megabank.local

Daha sonra LDAP sunucusundaki kullanıcıları enumerate etmek için bir komut giriyorum.

ldapsearch -x -H ldap://10.10.10.169 -w '' -b 'CN=Users,DC=megabank,DC=local'

Çıktıda birçok kullanıcı adı buluyorum.

3.png


Burada ilk dikkatimi çeken kullanıcı 'melanie' çünkü bu kullanıcı 'Remote Management Users' grubunda yer alıyor.

4.png


Burada 'melanie' kullanıcısına crackmapexec ile bir bruteforce (xato-1000 ile) uyguladım, ancak başarısız oldum. Daha sonra bu kullanıcıları bir listeye kaydettikten sonra ASREP Roasting saldırısı uyguladım.

6.png


ama herhangi bir sonuç alamadım.

Bulduğum kullanıcılarla bir şey yapamayınca , bu sefer bulduğum domain üzerinde herhangi bir DNS zone transferinin gerçekleşip gerçekleşmediğine bakıyorum.

5.png


Herhangi bir transfer gerçekleşmediğini görüyorum. Bu aşamadan sonra LDAP'ta daha kapsamlı bir numaralandırma yapıyorum.

python3 windapsearch.py -d 'megabank.local' -dc-ip 10.10.10.169 -U --full

Yaptığım taramada bulduğum kullanıcıların yanı sıra, başka kullanıcılar da buluyorum. Buna ek olarak, bazıları özellikle dikkatimi çekiyor.

7.png


Bir şifre bulduktan sonra, ağdaki kullanıcılara password spraying saldırısı uyguluyorum.

8.png


Yukarıda bahsettiğim 'Remote Management User' grubunda olan 'melanie' kullanıcısının şifresini Welcome123! olarak buluyorum ve evil-winrm ile giriş yapacağım.

9.png


Giriş yaptıktan sonra otomatik olarak enumerate yapmama izin vermediği için manuel olarak enumeration yapıyorum. C dizini altında farklı bir klasör buluyorum (dosyaları doğrudan listelediğinizde görünmüyor, 'dir -force' komutu yardımcı olacaktır (linux'taki 'ls -la' ile aynı işlev)). Bu klasörün içinde farklı bir dosya buluyorum, bu dosya Powershell'in history dosyasına benzer bir dosya. Bunu ekrana yazdırdığımda 'ryan' adlı kullanıcının şifresini elde ediyorum.

10.png


Ryan olarak giriş yapıyorum.

Sistem içinde Ryan'ın ait olduğu grupları listeliyorum ve dikkatimi bir grup çekiyor.

11.png


Active Directory içinde DnsAdmins grubunu araştırdığımda DNS servisi üzerinde DLL Hijacking yapabilme yetkisine sahip olduğumu görüyorum.

Çalıştırıldığında bize bir reverse shell verecek bir DLL payload'ı oluşturdum.

12.png


Bunu sisteme indirmek yerine direkt olarak bir SMB sunucusu kurarak bu SMB sunucusu üzerinden çalıştırılmasını sağlayacağım.

13.png


dnscmd aracını kullanarak DNS servisinin kullandığı DLL dosyasını kendi oluşturduğumuz malicious.dll dosyası ile değiştiriyorum.

14.png


Listener'ımı kuruyorum... DNS sunucusunu yeniden başlattığımda SYSTEM shell'ine sahip olacağım.

15.png


User ve root flag'lerini alıp makineyi kapatıyorum.

16.png


Buraya kadar okuduğunuz için teşekkür ederim.
 
Geri
Üst