Write-ups

CTResolución del CTF DORAEMON

💢 Plataforma: TheHackersLabs💢

❌Nombre: Doraemon
📈Nivel: Avanzado
💻OS: WINDOWS (Active Directory)
🙋🏽‍♂️Creador: CuriosidadesDeHackers & @condor7777
https://thehackerslabs.com/doraemon/

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

Los parámetros utilizados son:

  • -p- : Escaneo de todos los puertos. (65535)
  • -sS : Realiza un TCP SYN Scan para escanear de manera rápida que puertos están abiertos.
  • -sC : Realiz una escaneo con los scripts basicos de reconocimiento
  • -sV : Realiza un escaneo en buqueda de los servicios
  • –min-rate 5000: Especificamos que el escaneo de puertos no vaya más lento que 5000 paquetes por segundo, el parámetro anterior y este hacen que el escaneo se demore menos.
  • -n: No realiza resolución de DNS, evitamos que el escaneo dure más tiempo del necesario.
  • -Pn: Deshabilitamos el descubrimiento de host mediante ping.

Y lo primero que vamos a hacer es comprobar si hay archivos compartidos en linea con el usuario invitado, vemos una carpeta llamada «gorrocoptero», así que con smbclient entraremos sin necesidad de contraseña y vemos que tenemos un txt.

En el archivo vemos que quieren realizar una reunión, pero lo mas importante es el nombre del grupo «Dorayaki1» y los usuarios que tenemos.

Asi qu eagruparemos los usuarios en un archivo y utilizaremos el nombre del grupo como contraseña
En esta caso con crackmapekxec validaremos los usuarios que tenemos con la contraseña, dándonos como resultado que podemos entrar por winrn con el usuario «Doraemon».

Una vez dentro lo primer que haremos será listar los privilegios y grupos sin resultado.

Pero navegando entre directorios encontramos en la capeta «Links» un archivo oculto así el cual nos da una clave.

Realizaremos la misma tarea que anteriormente pero con la nueva posible contraseña y resulta que podemos entrar por winrm con el usuario «Suneo»

En este caso al listar los grupos vemos que pertenecemos al grupo «DnsAdmins»

El grupo DnsAdmins llama la atención. Buscando en Google, encontramos este artículo que detalla cómo escalar a SYSTEM desde DnsAdmins. Básicamente, crea una DLL maliciosa, ejecuta dnscmd para cargar dicha DLL y luego reinicia el servicio DNS.

La documentación de Microsoft describe este DnsAdmins como: “Los miembros del grupo DNSAdmins tienen acceso a la información de DNS de la red. Los permisos predeterminados son los siguientes: Read, Write, Create All Child objects, Delete Child objects, Special Permissions.” De forma predeterminada, los administradores de DNS no tienen la capacidad de iniciar o detener el servicio de DNS, pero no es raro que un administrador otorgue ese privilegio a este grupo. El ataque aquí es decirle al servicio DNS en Resolute que use mi dll como complemento.

Usare a usar msfvenom para crear un dll que, al cargar, se conectará de nuevo a mí.

Creamos la carga útil.

Teniendo un servidor con smb abierto, subimos la carga útil en la ruta indicada, reconfigurando las dns. Paramos el servicio DNS.

Tendremos NetCat en escucha para recibir la conexión por el puerto indicado.

Y volvemos a iniciar el servicio DNS reconfigurado con nuestra carga útil.

Vemos que a sido satisfactorio cuando recibimos el hash del usuario y la revshell como el usuario nt_authority\system.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *