# MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)

MAQUINA HUCH

Enumere los puertos de la maquina usando nmap.

`nmap -p- --open -sS --min-rate 4000 -v -Pn 192.168.142.122 -oG basicScan.txt`

Este escaneo me va a mostrar solamente los puertos abiertos.

![](/files/gCi3djd4QnStEGzzsbhV)

Ejecute otro tipo de escaneo, ahora este escaneo me va a mostrar todos los servicios y sus versiones de los puertos encontrados.

`nmap -p[rango de puertos encontrados] -sCV 192.168.142.122 -oN fullservice.txt`

![](/files/A5oh00TNTxQ3aRkyJhFZ)

![](/files/XlIC2je8z4hVqveFJMGB)

Revise el informe de nmap y encontré un dominio llamado "hutch.offsec" que lo agregue a mi

`/etc/hosts.`

![](/files/4UUuuWIgsAwLAGj1RXGI)

![](/files/jvl5teBJQjZmiD4PMlUB)

Con el puerto 88 abierto ya se que estoy ante un DC, luego use netexec para identificar ante que Windows me estoy enfrentando.

![](/files/AP3asjAdC09toP2dsnjB)

Observe a primera vista que al pasarle una null sesion para identificar el OS me devolvió un \[+] lo que quiere decir que podría tener permisos para realizar alguna accion en la maquina.

En un articulo de "[https://www.hackingarticles.in/"](https://www.hackingarticles.in/%22) encontré varias formas de aprovechar esta herramienta.

Leyendo un poco pude ver que si en la maquina tiene expuesto el servicio LDAP y si funciona las credenciales en ese servicio puedo ejecutar varios comandos.

En este caso use el comando "--users" donde me devolvió mucha información entre ellos los usuarios del DC.

`nxc ldap 192.168.142.122 -u '' -p '' --users`

![](/files/T0Pw6x0kjiKThcK3p4Mj)

Le indique a netexec que me muestre la query de los "samaccountname" y resulto exitoso lo solicitado.

Este comando me muestra información valiosa entre ella las descripciones {cosa muy importante a tener en cuenta}.

`nxc ldap 192.168.142.122 -u '' -p '' --query "(sAMAccountName=*)" ""`

![](/files/B3lTlXwfEdMQBYqCPVX2)

Al cabo de un tiempo después de leer detalladamente todo encontré una posible contraseña del usuario FREDDY.

![](/files/lYL9lK3KwPzadtF0DWO8)

Realice un password spray para ver si esta contraseña puede ser valida con otros usuarios a parte de freddy, pero solamente es valida con dicho usuario.

![](/files/UZYVSRPJ11Nqa63K1j3V)

Otra forma mas sencilla de encontrar los usuario en un formato mas limpio es usando el siguiente método.

`-M group-mem -o GROUP="Domain users"`

![](/files/HIF3tcot7dd6YIJpykvy)

Lo mismo con las descripciones, en este caso es utilizado el siguiente método:

`-M get-desc-users`

![](/files/39bYlmrxAoPBucmCV3Hj)

Antes de intentar ingresar a la maquina vía evil-winrm, utilice el método {-M}.

`-M laps`

Al ejecutar este comando me mostro una contraseña sin usuario. Así que realice otro password spray y me indico automáticamente que pertenece al usuario administrador.

![](/files/lrHYuW8dYAz7JDvHheJb)

![](/files/on2iRUmrCqfTAt0oKLiD)

Ingrese con evil-winrm siendo usuario administrador y logre comprometer la maquina.

![](/files/DpbRwDqDoQZy66k5XwoT)

OTRA FORMA DE ENCONTRAR LA PASSWORD DE ADMINISTRADOR.

![](/files/TCk53jkO46jiz7to6OYX)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://1gnotus.gitbook.io/ignotus_pwn/proving-ground-practice-and-play/writeup/maquina-hutch-netexec-ldap-enum-privesc-netexec-dump-laps.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.