Skip to main content
HackTheBox machines – Rebound WriteUp

HackTheBox machines – Rebound WriteUp

Rebound es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox basada en Windows

Rebound es una de las maquinas existentes actualmente en la plataforma de hacking HackTheBox y es de dificultad Insane.

En este caso se trata de una máquina basada en el Sistema Operativo Windows.

 

Escaneo de puertos

Como de costumbre, agregamos la IP de la máquina Rebound 10.129.10.89 a /etc/hosts como rebound.htb y comenzamos con el escaneo de puertos nmap.

Una vez lanzado el primer escaneo, vamos con uno más en detalle sobre los puertos abiertos

 

Enumeración

Comenzamos con la enumeración de smb y ldap aunque no conseguimos gran cosa, pero viendo que podemos ver los shares existentes sin necesidad de autenticación utilizamos crackmapexec para realizar una enumeración de usuarios por fuerza bruta

 

Tratamos de llevar a fondo dicha enumeración y sólo conseguimos hacerlo con el usuario jjones, con el cual consegimos obtener su hash

 

Viendo como hemos obtenido el hash del usuario jjones, para poder obtener más necesitamos aprovechar que el usuario no necesita realizar un preauth, y para ello vamos a tener que trabajar con una versión concreta de impacket.

Descargamos y montamos la misma y ejecutaremos para obtener el hash del usuario ldap_monitor, entre otros

Ahora que tenemos el hash, utilizamos john para romper el mismo y sacar la clave en plano

 

Escalado al usuario winrm_svc

Lanzamos un ataque de password spraying con los usuarios y la password detectada para ver si nos es válida con alguno más

 

Y vemos que además del usuario ldap_monitor, nos vale para el usuario oorend y el grupo ServiceMgmt.

Así que, para conocer los siguientes pasos, necesitamos enumerar las acls existentes y los permisos del grupo ServiceMgmt, así que utilizaremos la herramienta bloodyAD

Enumeramos entonces el grupo

 

Y al usuario oorend

 

Revisando lo visto anteriormente vemos que podemos modificar el grupo ServiceMgmt, así que los siguientes pasos serán:

  1. Añadimos al usuario oorend al grupo ServiceMgmt
  2. Añadimos al grupo el permiso de GenericAll
  3. Modificamos la password del usuario winrm_svc
  4. Entramos por winrm

 

Vistos los pasos al turrón, en primer lugar añadimos al usuario oorend al grupo ServiceMgmt

Añadimos el permiso de generilAll

Cambiamos la password del usuario winrm_svc

Y entramos con evil-winrm

 

Obteniendo la flag de user

Una vez dentro vamos al escritorio y cogemos la flag

 

Enumeración del Active Directory

Ya estamos dentro, así que para poder continuar, vamos a sacar un dump de la configuración del AD con bloodhound para su análisis.

Subimos e importamos el módulo de SharpHound

Y recolectamos

Revisamos los mismos y vemos varias cosas interesantes, por un lado, el usuario tbrady puede leer las GSMA password del usuario delegator$

HackTheBox machines – Rebound WriteUp

 

Y por otra parte que es posible explotar una delegación restringida del usuario delegator$ para delegar permisos a otro usuario con el cual poder impersonarse como dc01, así que los pasos a realizar serían los siguientes:

  1. Necesitamos obtener acceso con el usuario tbrady
  2. Obtener la password GMSA del usuario delegator$
  3. Abusar de la delegación restringida para delegar permisos en el usuario ldap_monitor
  4. Impersonarnos como dc01
  5. Dumpear las credenciales del usuario admin

Para la parte de delegación podemos ayudarnos de este post.

Vistos los pasos vamos a ello.

 

Escalado al usuario tbrady

Una vez revisado a fondo el ad, vamos a utilizar la tool de RemotePotato para obtener el hash del usuario tbrady.

Así que una vez descargada y subida la herramienta, ejecutamos socat para la escucha

Y posteriormente ejecutamos RemotePotato contra nuestra máquina para obtener el hash

 

Ya tenemos el hash, ahora lo pasamos por john y conseguimos la clave en plano

 

Lectura de la password GMSA

Para este paso, en nuestro caso, continuamos utilizando bloodyAD, aunque hay otras opciones. Para evitar problemas con la hora utilizamos la tool faketime, que nos facilita esta tarea, y lanzamos

 

Delegación de permisos

Una vez tenemos los hashes, obtenemos un ticket del usuario delegator$

 

Ahora exportamos el ticket

Y delegamos en el usuario ldap_monitor

 

Escalado a dc01

Una vez delegados los privilegios, obtenemos un ticket del usuario ldap_monitor

Exportamos

Y obtenemos un ticket de dc01

Ahora que lo tenemos lo exportamos

Y generamos un ticket adicional

 

Dumpeo de hashes

Con el ticket de dc01 sacamos los hashes del usuario administrator con secretsdump de impacket

 

Obteniendo la flag de root

Con el hash del usuario administrator obtenido, conectamos por winrm y cogemos la flag

Y ya tenemos nuestra flag de root para completar esta máquina y conseguir nuestros puntos.

 

Si eres usuario de HackTheBox y te gustó mi writeup, por favor, dame respeto en el siguiente enlace

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *