Sauna

Information Gathering

NMAP - Ports and Services

Nmap scan report for 10.10.10.175 (10.10.10.175)
Host is up (0.048s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-01-08 21:17:43Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
9389/tcp  open  mc-nmf        .NET Message Framing
49668/tcp open  msrpc         Microsoft Windows RPC
49673/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49674/tcp open  msrpc         Microsoft Windows RPC
49677/tcp open  msrpc         Microsoft Windows RPC
49689/tcp open  msrpc         Microsoft Windows RPC
49696/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 61.70 seconds

Kerbrute - User Enumeration

Road to Users

seperti biasa, karena saya berhasil melakukan enumerasi username saya akan melakukan AS-REP Roast terlebih dahulu

saya mendapatkan fsmith hash, simpan hash tersebut dan mari kita crack menggunakan hashcat

mari kita check winrm

next, kita akses menggunakan evil-winrm

saya dapat flag user

Road to Administrator

saya akan menjalanakn winpeas.exe pada server tersebut

perlu diketahui usename yang terdapat pada result tersebut adlah svc_loanmanager sedangkan yang terdpat pada server adalah svc_loanmgrjadi harap fokus hehe

kita mendapatkan svc_loanmgr.

svc_loanmgr memiliki DCSync privilege pada domain sehingga kita bisa langsung dump hash menggunakan secretsdump dan membaca root.txt

selanjutnya mari lakukan pass the hash

Machine Recap

  1. port and service scanning dengan nmap

  2. user enumeration dengan kerbrute

  3. melakukan as-rep roasting dan mendapatkan hash fsmith

  4. crack hash fsmith dengan hashcat

  5. login ke evil-winrm dan jalankan winpeas.exe

  6. mendapatkan user dan password svc_loanmanager (svc_loanmgr)

  7. melakukan active directory mapping dengan bloodhound

  8. svc_loanmgr memiliki DCSync ke domain

  9. melakukan credential dumping

  10. melakukan pass the hash

PreviousForestNextActive

Last updated