[HackTheBox] – Resolute

HackTheBox Resolute dengan OS Windows

Sebelumnya penulis merasa paling enak kalau ketemu box windows tuh ya enumnya pakai sparta, karena udah include smbenum, nmap, semua kebutuhan enumeration ditanganin sparta. Tapi for some reason kali ini sparta ku rusak :'( jadi mau ga mau sedikit manual

Mari kita mulai dengan nmap

Kita mendapatkan beberapa open ports menarik seperti samba,ldap,dan rpc over http, mari selesaikan enumerasi nya dulu dengan menggunakan enum4linux

Note to self:

https://docs.microsoft.com/en-us/windows/win32/rpc/remote-procedure-calls-using-rpc-over-http

Pada bagian ini terdapat bagian menarik di descriptionnya, dibilang account marko sudah dibuat dan password di set menjadi Welcome123! (iya tanda seru nya juga -.- , sempat stuck disini karena dikira tanda serunya itu tidak termasuk password)

Saya mengetes menggunakan evil-winrm untuk login ke marko menggunakan password Welcome123! tapi wrong password. Karena tidak melihat cara lain untuk masuk kedalam, penulis mencoba password yang sama ke semua user, membuat user wordlist dengan sedikit sublime magic dan masukin ke hydra

Kita dapet sebuah match sebagai user melanie dengan password Welcome123!

Mari coba login menggunakan Evil-Winrm dengan credentials yang sama

User : 0c3be45fcfe249796ccbee8d3a978540

Berhasil masuk, saya sempat menggunakan WinEnum.bat tapi tidak ada hasil yang menarik maka langsung manual enumeration, ternyata ada user lain bernama ryan.

Bisa ditemukan directory PSTranscripts

Ada semacam log dari powershell, pada bagian invocation kita bisa melihat user dan password ryan sedang digunakan, passwordnya Serv3r4Admin4cc123!

Mari coba lagi di evil-winrm

Ditemukan sebuah note.txt di desktop user ryan yang meyinggung tentang administrator, oleh sebab itu saya mengecek sebenernya role ryan ini apa, karena passwordnya sebenarnya sedikit mencurigakan.

MEGABANK\DnsAdmins

Pencarian google “DnsAdmins” result pertamanya mengeluarkan exploit untuk DnsAdmin

https://medium.com/techzap/dns-admin-privesc-in-active-directory-ad-windows-ecc7ed5a21a2

Sisa step by stepnya tinggal follow blindly dari blog ini

root : e1d94876a506850d0c20edb5405e619c

Leave a Reply

Your email address will not be published. Required fields are marked *