Resolución del CTF B.I.G

¡ATENCIÓN!

Los usuarios Juicy y adm_puffy fueron cambiados por Music y song respectivamente.

Enumeración

Escaneo de puertos

Realizamos un escaneo de todos los puertos para saber cuáles están activos.

No encontramos ante un aplicativo web en una maquina con sistema Windows.

Al ver el código fuente nos resulta muy curioso ambas frases

Si fuxxeamos nos encontramos con tres carpetas

En la cual en una de ellas nos encontramos una texto que nos dice claves ocultas en md5 de nuevo, y además nos da un usuario: «Puffy«

Tras comprobar en todos los directorios que hubiese claves MD% vamos a encodear en mD5 la frase principal:

En unas de las carpeta nos encontramos con varias imágenes, las cuales están bajo salvoconducto y al utilizar steghide para ver información oculta en las imágenes, una de ellas nos da lo que parece una contraseña.

Probamos de iniciar sesión con evil-winrm con el usuario y la contraseña y accedemos al servidor.

hacemos un poco de enumeración de usuarios y grupos, lo cual nos lleva a ver un grupo llamado «Special Permission» cuya membresia esta vacia:

Si nps fijamos en el grup «EAST_COAST» vemos que tiene al usuario «Juicy«

Pasamos a enumerar con SharpHound, también con WinPeas, AdPeas etc. Nos creamos un recurso compartido puesto que SharHound lo tenemos en el modulo de metasploit en local.

Lo copiamos en la maquina victima y lo ejecutamos.

Obtenemos nuestro archivo «zip».

Así que de la misma manera lo vamos a copiar a nuestro sistema atacante mediante el recurso compartido de smb.

Una vez lo tenemos en nuestro equipo arrancamos neo4j.

Y posteriormente BloodHound.

Cargamos el archivo zip y esperamos.

En la primera comprobación vemos que existe un usuario llamado adm_puffy que es una cuenta con la vulnerabilidad AS-REP ROAST. Marcamos la cuenta como owned haciendo click derecho sobre el.

Seguimos enumerando y vemos que el usuario «adm_puffy» pertenece al grupo «privilege users» que pertenece al grupo «account operators«.El grupo Account operators tiene permisos de «GenericAll» sobre el grupo «Special Permissions» el cual tiene permisos de «WriteDACL» sobre el dominio

Los permisos del grupo «Account operators «sobre «Special permissions» nos dan la posibilidad de agregar al usuario «adm_puffy» como miembro del grupo «Special permissions«. Una vez que seamos miembros del grupo «Special permissions«como este tiene permisos de modificar sobre el dominio vamos a poder otorgarle los permisos de DCsync que no son otros que: «Replicate Changes directory«» y «Replicate Changes directory All.«

Nos creamos un user.txt con el usuario «adm_puffy» con el din de pode obtener las credenciales del mismo.

Antes de hacerle fuerza bruta al hash vemos que tenemos un archivo llamada «Skythelimit.txt» con lo que parece ser contraseñas, así que lo vamos a usar

Obtenemos una contraseña.

Y accedemos con el usuario «adm_puffy«.

Si volveos a BloodHound vemos que el usuario «adm_puffy» es miembro del grupo o «Privilege Users» el cual a su vez es miembro del grupo «Account operators«, el grupo «»Account operators»» tiene permisos de «»GEnericAll»» sobre el grupo «»Special Permissions»» lo cual da la posibilidad de que el usuario «»adm_puffy» se ponga como miembro de este.

Puesto que el grupo «Special Permissions» tiene permisos de WriteAcl sobre el dominio, podemos darnos tantos permisos como queramos para hacer un ataque DCSync. Estos son los permisos «Replicate Directory Changes» y «Replicate Directory Changes All».

Nos creamos un servidor en nuestra maquina y nos descargamos la herramienta PowerView.ps1

Antes de nada agregamos al uaurio adm_puddy al grupo Special Permisisons.

Ejecutamos PowerView.ps1 con el comando IEX apuntando a nuestra máquina de atacante. Nos guardamos las credenciales de la cuenta «adm_puffy» en sendas variables Y por último agregamos al grupo los permisos de DCsync.