Forest

Forest HackTheBox Writeups

Information Gathering

NMAP - Ports and Services

Host is up (0.068s latency).

PORT      STATE SERVICE      VERSION
53/tcp    open  domain       Simple DNS Plus
88/tcp    open  kerberos-sec Microsoft Windows Kerberos (server time: 2025-01-08 12:12:35Z)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
389/tcp   open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds (workgroup: HTB)
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
9389/tcp  open  mc-nmf       .NET Message Framing
47001/tcp open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
49664/tcp open  msrpc        Microsoft Windows RPC
49665/tcp open  msrpc        Microsoft Windows RPC
49666/tcp open  msrpc        Microsoft Windows RPC
49667/tcp open  msrpc        Microsoft Windows RPC
49671/tcp open  msrpc        Microsoft Windows RPC
49678/tcp open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
49679/tcp open  msrpc        Microsoft Windows RPC
49686/tcp open  msrpc        Microsoft Windows RPC
49705/tcp open  msrpc        Microsoft Windows RPC
49974/tcp open  msrpc        Microsoft Windows RPC
Service Info: Host: FOREST; OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 56.83 seconds

Road to Users

Kerbrute - User Enumeration

LDAPSEARCH

saya akan melakukan enumerasi username menggunakan ldapsearch

namun, saya tidak yakin bahwa seluruh username yang tersedia tercover disini, oleh karena itu saya akan mengambil secara masal untuk melakukan AS-REP Roast

LISTS

saya tahu cara ini sedikit aneh hehe

AS-REP ROAST

we got svc-alfresco hash, now save the hash kedalam file dan let's crack the hash

let's try to check the password

selanjutnya mari akses menggunakan evil-winrm

Road to Administrator

disini saya butuh bloodhound, yang pertama saya akan collecting terlebih dahulu

selanjutnya saya akan menjalankan bloodhound

first of all, saya selalu mengecheck First Degre Object Controll dari user yang telah dikompromise

svc-alfresco has own privilege to users john and neo. selanjutnya mari kita periksa kedua user tersebut

kedua user tersebut memiliki DCSync Privilege pada htb.local, karena svc-alfresco memiliki

own privilage pada kedua user tersebut, kita dapat melakukan force change password terhadap user tersebut.

disini saya akan mencoba untuk melakukan change password miliki neo

selanjutnya saya kan melakukan verify apakah berhasil untuk change passwordnya atau tidak

disini kita berhasil melakukan force change password user neo, selanjutnya mari kita melakukan dump ntlm hash administrator dan melakukan Pass-The-Hash untuk mendapatkan root flag

selanjutnya mari kita pass the hash dan membaca flag root.txt

Machine Summary

  1. Melakukan scanning dengan nmap

  2. melakukan enumerasi username dengan kerbrute

  3. melakukan enumerasi username dengan ldapsearch

  4. melakukan AS-REP ROASTING untuk mendapatkan svc-alfresco Hash

  5. melakukan cracking svc-alfresco hash dengan hashcat

  6. login dengan evil-winrm untuk mendapatkan local.txt

  7. melakukan active directory mapping dengan bloodhound

  8. svc-alfresco memiliki ownprivilege pada user neo

  9. melakukan abuse own privilege pada neo

  10. user neo memiliki DCSync privilege pada domain

  11. melakukan dump credential

  12. melakukan Pass The Hash dengan administrator hash untuk mendapatkan root.txt

PreviousEasyNextSauna

Last updated