Writeup Cicada HTB

"Cicada" es una máquina de nivel fácil en la plataforma HackTheBox. La máquina ofrece una sesión como usuario invitado mediante el servicio SMB, el cual expone una contraseña por defecto para los nuevos usuarios. Realizamos un ataque de fuerza bruta sobre el RID para descubrir posibles usuarios y encontramos uno cuya contraseña se corresponde con la filtrada en el archivo. Con este nuevo usuario, conseguimos enumerar otros usuarios en el dominio o máquina, y uno de ellos tiene una nueva contraseña filtrada en su descripción. Este usuario es capaz de acceder a un recurso compartido adicional en SMB, donde se revelan las credenciales de otro usuario. Este tercer usuario puede conectarse a la máquina víctima a través de WinRM, obteniendo así acceso inicial. Ya dentro del sistema, descubrimos que el usuario tiene habilitado el privilegio SeBackupPrivilege, lo que le permite crear copias de archivos del sistema y extraer el hash NT del usuario Administrator. Con este hash, utilizamos un ataque Pass The Hash para suplantar al usuario Administrador, logrando así el control total sobre la máquina víctima.

lo primero como siempre el escaneo de nmap:

nmap -p- --open --min-rate 5000 -sT -Pn  -n -vvv 10.10.11.35 -oG allports

vale vemos que no hay ninguna web tirando por detras pero por sim'ple vista vemos que se trara de un active directory de windows

por lo que para ver el nombre de la maquina y el nombre de dominio vamos a usar netexect

vemos que se llama CICADA-DC y cicada.htb por lo que los añadimos al /etc/hosts vale perfect

ahora vamos a verificar que exista el usuario anonmyous

vemos que si por lo que vamos a ver a que podemos acceder con este usuario usando smbmap

no se ve muy bien en la imagen pero tenemos acceso a HR y IPC$ si nos metemos en HR

vemos lo siguiente:

si nos bajamos el archivo

dentro de el vemos esto

vemos una contraseña por lo que por ahora solo nos faltan los usuarios

podemos intentar sacarlos con fuerza bruta con netexect

vemos varios usuarios. aqui o una de dos o los ponemos todos en un txt y lo usamos gunto a netexect o provamos uno a uno ( yo ya se que usuario es por lo que me salto todo esto)

y es valido con el usuario michael

ahora si enumeramos los usuarios con este usuario encontramos algo curioso

vemos que el usuario david.orelious en su descripcion tiene la contraseña por lo que mas facil para mi

una vez echo podemos ver a que tiene acceso este usuario david.orelious con smbmap

vemos que tenemos acceso a mas directorios el mas interesante es el DEV por lo que vamos a ir a ese

vemos un archivo .ps1 nos lo bajamos y vemos que hay dentro

y otra vez vemos credenciales y ademas se una usuaria a la cual la podemos hacer un evil-winrm

por lo que

estamos dentro

root

vemo que tenemos privilegio sobre los backups lo cual se puede explotar para que nos deje acceder a cualquier directorio https://book.hacktricks.xyz/windows-hardening/windows-local-privilege-escalation/privilege-escalation-abusing-tokens

por lo que vamos a usar este exploit https://github.com/Hackplayers/PsCabesha-tools/blob/master/Privesc/Acl-FullControl.ps1

lo subimos con python y una vez subido ejecutamos

y seguido podemos hacer el siguiente comando

y conseguimos el acceso

Anteriorwriteup yummy HTBSiguienteWriteup magicgardens HTB

Última actualización