Hackthebox Monteverde Makinesi Çözümü

Hackthebox Monteverde Makinesi Çözümü

Merhabalar, bu hafta emekliye ayrılan monteverde isimli makinenin çözümünü anlatmaya çalışacağım.Medium seviye olarak yayınlanan bir Windows makinesidir.Nmap taraması ile başlayalım.

sudo nmap -A -p- -T4 10.10.10.172

Sistemde ilk olarak dikkatimizi smb portları çekti.Sistemi enumerate etmek için enum4linux toolunu kullanarak neler yapabileceğimize bakabiliriz.Çünkü smb paylaşım alanları anonymous olarak gözükmüyor.

enum4linux 10.10.10.172

Buradan karşımızda kullanıcı listesi çıktı.Kullanıcıları users.txt şeklinde kaydediyoruz.Kerberos‘a kullanıcılarla bir istekte bulunsak da bir sonuca ulaşamadık.Metasploit kullanarak smb portuna brute force yapmaya karar verdim.


Smb portuna brute force yapmak için smb_login modülünü kullanıyorum.Kullanıcı adı ve şifre bilmediğimiz için her iki kısımda da kullanıcılar listesini yazarak brute force yapıyoruz.


SABatchJobs isimli kullanıcıya ve aynı isimde şifreye ulaştık.Şimdi smbclient kullanarak bu kullanıcıya ait smb paylaşım alanlarına bakabiliriz.

smbclient -L 10.10.10.172 -U SABatchJobs

Şimdi karşımıza çıkan paylaşım alanlarında araştırmamızı yapabiliriz.İlk olarak dikkatimi users$ kısmı çekti.Hemen login olup araştırma yapıyorum.

smbclient \\\\10.10.10.172\\users$ -U SABatchJobs

Mhope isimli kullanıcının dizininde azure.xml isimli bir dosya var.mget komutuyla indirip inceliyoruz.

mget azure.xml
cat azure.xml

Bu dosya içinde şifre var.Şifre muhtemelen mhope kullanıcısına ait olduğu tahmin ediliyor.5985 wsman portunun açık olduğundan emin olduktan sonra evil-winrm toolunu kullanarak hedef sisteme girmeyi deniyoruz.

evil-winrm -u mhope -p [email protected]$ -i 10.10.10.172

User.txt ‘yi okuduk.Artık hedef sistemde root olmamız gerekiyor.Sistemde yetki yükselmek için araştırma yapmaya başlıyoruz.Windows sistemler için klasikleşmiş bir komut olan whoami komutunu kullanıyoruz.

whoami /all

Çıktımızda ilk olarak dikkatimi MEGABANK domaini üzerindeki Azure Admins isimli grup çekti.Bu grup hakkında daha önce birşey bilmediğim için yetki yükseltme umuduyla internette araştırma yapıyorum.Azure Admins grupunu manipüle etmek için güzel bir blog yazısı buldum.Detaylara buradan bakabilirsiniz.


Blogdan öğrendiğimiz yöntem üzerine gerekli araçları kendi makinemizi indirdikten sonra upload komutu yardımıyla hedef sisteme yüklüyoruz.AdDecrypt.exe toolumuz çalışması için özel olarak “C:\Program Files\Microsoft Azure AD Sync\Bin” dizinine gidip oradan çalıştırmamız gerekiyor.Sonuç başarılı.

C:\Users\mhope\Documents\AdDecrypt.exe -FullSQL

Toolumuz sayesinde yetkili kullanıcıya ait parolayı bulmuş olduk.Şimdi tekrardan evil-winrm kullanarak bu sefer administrator olarak bağlanıp root.txt flagımızı okuyabiliriz.


Pek de zor olmayan bir makineydi.Okuduğunuz için teşekkür ederim.Gelecek yazılarda görüşmek üzere.

Related Posts

Facebook Comments