Cicada

Information Gathering

Port and Services

Nmap scan report for 10.10.11.35
Host is up (0.024s latency).
Not shown: 65522 filtered tcp ports (no-response)
PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-04-28 09:43:26Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: cicada.htb0., Site: Default-First-Site-Name)
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=CICADA-DC.cicada.htb
| Subject Alternative Name: othername: 1.3.6.1.4.1.311.25.1:<unsupported>, DNS:CICADA-DC.cicada.htb
| Not valid before: 2024-08-22T20:24:16
|_Not valid after:  2025-08-22T20:24:16
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
61794/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: CICADA-DC; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required
|_clock-skew: 50s
| smb2-time: 
|   date: 2025-04-28T09:44:24
|_  start_date: N/A

Setup

Host

Initial Access

SMB guest

disini saya mencoba mengakses SMB dengan guest user, terdapat folder yang menarik yaitu

  • DEV

  • HR (Readable)

disini saya hanya dapat mengakses folder HR. saya akan menggunakan smbclient untuk terkoneksi ke smb folder tersebut

didalam folder HR terdapat file "Notice from HR.txt", saya mengunduh ke lokal dan berikut ini adalah isi dari filenya

file tersebut mengandung password Cicada$M6Corpb*@Lp#nZp!8 disini saya akan melakukan password sprying, namun saya membutuhkan username. oleh karena itu saya akan melakukan username enumeration dari RID

kemudian saya menyimpan username (SidTypeUser) ke users.txt dan mulai untuk password spraying

disini saya berhasil mendapatkan credential michael.wrightson. selanjutnya saya akan memeriksa description melalui ldap untuk memeriksa apakah ada password pada description atau tidak (hal umum)

disini saya mendapatkan password aRt$Lp#7t*VQ!3 password ini akan saya gunakan untuk password spraying

disini saya mendapatkan credential david.orelious disini user tersebut dapat mengakses folder DEV pada smb

saya mencoba untuk connect ke smb folder DEV dan mendapatkan sebuah file Backup_script.ps1

berikut ini adalah content dari file tersebut

disini saya mendapatkan credential dari emily.oscars, saya mencoba mengakses melalui winrm dan berhasil masuk

Privilege Escalation

Abusing SeBackupPrivilege and SeRestorePrivilege

disini user emily memiliki SeBackupPrivilege dan SeRestorePrivilege, selain itu emily juga salah satu member dari Backup Operator group.

disini saya akan abuse privilege tersebut untuk mendapatkan SAM dan SYSTEM dan mendownloadnya ke kali machine dengan evil-winrm

setelah berhasil didownload, saya akan menggunakan impacket-secretsdump untuk melakukan dumping credential

disini saya berhasil mendapatkan Hash administrator, selanjutnya saya akan melakukan pass the hash dengan evil-winrm

berhasil mendaptkan administrator account

PreviousReturnNextMailing

Last updated