Reel

Information Gathering

NMAP - Ports and Services

Nmap scan report for 10.10.10.77 (10.10.10.77)
Host is up (0.052s latency).

PORT      STATE SERVICE      VERSION
21/tcp    open  ftp          Microsoft ftpd
22/tcp    open  ssh          OpenSSH 7.6 (protocol 2.0)
25/tcp    open  smtp?
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp   open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds (workgroup: HTB)
593/tcp   open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
49159/tcp open  msrpc        Microsoft Windows RPC
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port25-TCP:V=7.94SVN%I=7%D=1/9%Time=677FBCB6%P=x86_64-pc-linux-gnu%r(NU
SF:LL,18,"220\x20Mail\x20Service\x20ready\r\n")%r(Hello,3A,"220\x20Mail\x2
SF:0Service\x20ready\r\n501\x20EHLO\x20Invalid\x20domain\x20address\.\r\n"
SF:)%r(Help,54,"220\x20Mail\x20Service\x20ready\r\n211\x20DATA\x20HELO\x20
SF:EHLO\x20MAIL\x20NOOP\x20QUIT\x20RCPT\x20RSET\x20SAML\x20TURN\x20VRFY\r\
SF:n")%r(GenericLines,54,"220\x20Mail\x20Service\x20ready\r\n503\x20Bad\x2
SF:0sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20commands
SF:\r\n")%r(GetRequest,54,"220\x20Mail\x20Service\x20ready\r\n503\x20Bad\x
SF:20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20command
SF:s\r\n")%r(HTTPOptions,54,"220\x20Mail\x20Service\x20ready\r\n503\x20Bad
SF:\x20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20comma
SF:nds\r\n")%r(RTSPRequest,54,"220\x20Mail\x20Service\x20ready\r\n503\x20B
SF:ad\x20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20com
SF:mands\r\n")%r(RPCCheck,18,"220\x20Mail\x20Service\x20ready\r\n")%r(DNSV
SF:ersionBindReqTCP,18,"220\x20Mail\x20Service\x20ready\r\n")%r(DNSStatusR
SF:equestTCP,18,"220\x20Mail\x20Service\x20ready\r\n")%r(SSLSessionReq,18,
SF:"220\x20Mail\x20Service\x20ready\r\n")%r(TerminalServerCookie,36,"220\x
SF:20Mail\x20Service\x20ready\r\n503\x20Bad\x20sequence\x20of\x20commands\
SF:r\n")%r(TLSSessionReq,18,"220\x20Mail\x20Service\x20ready\r\n")%r(Kerbe
SF:ros,18,"220\x20Mail\x20Service\x20ready\r\n")%r(SMBProgNeg,18,"220\x20M
SF:ail\x20Service\x20ready\r\n")%r(X11Probe,18,"220\x20Mail\x20Service\x20
SF:ready\r\n")%r(FourOhFourRequest,54,"220\x20Mail\x20Service\x20ready\r\n
SF:503\x20Bad\x20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20o
SF:f\x20commands\r\n")%r(LPDString,18,"220\x20Mail\x20Service\x20ready\r\n
SF:")%r(LDAPSearchReq,18,"220\x20Mail\x20Service\x20ready\r\n")%r(LDAPBind
SF:Req,18,"220\x20Mail\x20Service\x20ready\r\n")%r(SIPOptions,162,"220\x20
SF:Mail\x20Service\x20ready\r\n503\x20Bad\x20sequence\x20of\x20commands\r\
SF:n503\x20Bad\x20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20
SF:of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20commands\r\n503\x20Ba
SF:d\x20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20comm
SF:ands\r\n503\x20Bad\x20sequence\x20of\x20commands\r\n503\x20Bad\x20seque
SF:nce\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\x20commands\r\n50
SF:3\x20Bad\x20sequence\x20of\x20commands\r\n503\x20Bad\x20sequence\x20of\
SF:x20commands\r\n");
Service Info: Host: REEL; OS: Windows; CPE: cpe:/o:microsoft:windows

Road to Users - Nico

enumerasi ftp

File analysis

disini kita mendapatkan email [email protected] mungkin ini akan berguna karena terdapat smtp yang berjalan

SMTP - User Enumeration

saya ingin memeriksa apakah email yang telah ditemukan tersebut exist atau tidak

hasilnya adalah exist.

Phishing Attacks

membuat malicious file

selanjutnya saya akan menggunakan https://github.com/bhdresh/CVE-2017-0199 untuk membuat RTF file

Exploit toolkit CVE-2017-0199 - v4.0 is a handy python script which provides pentesters and security researchers a quick and effective way to test Microsoft Office RCE. It could generate a malicious RTF/PPSX file and deliver metasploit / meterpreter / other payload to victim without any complex configuration.

selanjutnya saya akan menjalankan python http.server dan nc listener

selanjutnya saya mengirim file invoice tersebut ke [email protected]

maka akan ada koneksi masuk ke http.server dan listener

Road to Users - Tom

pada nico desktop terdapat file cred.xml yang dimana kemungkinan besar digunakan untuk otentikasi atau akses otomatis dalam konteks PowerShell.

selanjutnya saya akan menggunakan powershell untuk mendapatkan plain text password tersebut

selanjutnya saya akan login ke ssh dengan user tom

pada tom desktop terdapat folder "AD Audit" yang berisi bloodhound dan file note.txt

didalamnya terdapat "acls.csv" yang mungkin terdapat informasi yang bermanfaat. selanjutnya saya akan copy ke local

file csv tersebut berisi informasi terkait active directory tersebut

tom memiliki WriteOwner privilege pada user claire

user claire memiliki WriteDacl privilege pada Backup_Admins group. disini saya akan melakukan compromise user claire dengan abusing WriteOwner melalui user tom.

Road to Users - Claire

karena tom memiliki WriteOwner privilege pada claire, saya akan membuat tom menjadi owner dari claire dan melakukan force change password claire dengan memanfaatkan powerview.ps1 yang tersedia pada directory Bloodhound

sekarang tom adalah owner dari claire, selanjutnya saya akan memberikan tom Reset Password Right ke claire (ADCL)

sekarang tom sudah memiliki ResetPassword Right pada claire, selanjutnya mari reset password claire

selanjutnya mari verify

Road to Administrator

karena saya sudah berhasil change password claire, selanjutnya saya login ssh sebagai claire

user claire merupakan membership dari Domain Users, akan tetapi pada fil csv sebelumnya menjelaskan bahwa claire memiliki WriteDacl pada Backup_Admins, sehingga saya bisa abuse WriteDacl tersebut untuk memasukan claire menjadi Backup_Admins member.

selanjutnya disini folder administrator dapat diakses oleh backup_admins. sehingga memungkinkan claire bisa mengakses folder tersebut

saya stuck disini karena tidak menampilkan result dari icacls, solusinya adalah exit dari ssh dan login ulang maka "icacls administrator" dapat menampilkan result

selanjutnya saya akan melihat desktop folder

terdapat root.txt tetapi kita tidak bisa membacanya, namun kita dapat membaca file-file yang berada pada Backup Sciprts, disini saya menemukan password pada BackupScript.ps1

mari kita verify dengan login ke ssh

PreviousBlackfieldNextMantis

Last updated