1gnotus
  • WHOAMI
    • Mi camino a la OSCP😘
    • Mi primer Certificación la eJPT
  • HACK THE BOX
    • Page 1
    • Page 2
  • 💻Proving Ground Practice and Play
    • Writeup
      • MAQUINA JORDAK (Web RCE jordani 1.0.0 + PRIVESC 'env')
      • MAQUINA ALGERNON (VULn 'smartermail v6985 RCE')
      • MAQUINA TWIGGY (CMS MEZZANINA RCE VULN ZEROMQ ZMTP o API SALTSTACK 3000.1 'cve 2020 11651')
      • MAQUINA BOOLEAN (Modificacion de REQUEST con Burpsuite ' confirmed = true ' + LFI + UPLOAD ID_RSA an
      • MAQUINA AUTHBYT (FTP anonymous y credenciales por defecto + subida de archvio PHP revershell a FTP
      • MAQUINA CLAMV (VULN SMTP 25 'clamv' Sendmail 8.13 SEARCHSPLOIT)
      • MAQUINA COCKPIT (Gobuster extension php + Blaze CMS 'SQLI BYPASS LOGIN' + UBUNTU WEB + REVERSHELL +
      • MAQUINA CODO (CODOFORUM 5.1 'RCE + UPLOAD IMG.' + LINPEAS)
      • MAQUINA CVE-2023-40582 (Vulnerabilidad de Inyección de Comando en find exec)
      • MAQUINA CVE-2023-46818 (RCE CVE 2023 46818 ispconfig.)
      • MAQUINA DC 2 (Enum Users Wordpress WPSCAN + CEWL wordlists + BruteForce WPSCAN + PRIVESC bin git 'je
      • MAQUINA DETECTION (WEB 'changedetection' port 5000 + VULN RCE 'changedetection RCE')
      • MAQUINA ELECTION1 (Sito web Election 2.0 + PHPmyadmin login + Escalate Priv SERV U)
      • MAQUINA DVR4 (web 'Argus Surveillance DVR version 4.0.0.0' + Vuln 'Argus Surveillance DVR DIRECTORY
      • MAQUINA EXFILTRED Subrion CMS v4.2.1 File Upload Bypass to RCE (Authenticated) UPLOAD PHAR 'CMD' PRI
      • MAQUINA FAIL (ENUM RSYNC 'PUERTO 873' + SSH- KEYGEN + PREVISEC 'GROUP FAIL2BAIN')
      • MAQUINA FANTASTIC (GRAFANA 8.3 'vuln lfi' + PROMETHEUS 2.32 + ESCALATE PRIV 'group DISK = root + ID_
      • MAQUINA FUNYBOX (CSE BOOKSTORE 1.0 Vuln rce no autenticado PRIVESC pkexec 'sudo l' extra bypass login SMALL CRM ADMIN 3.0)
      • MAQUINA INTERNAL (WINDOWS SERVER 2008 + CVE 2009 3103 + METERPRETER RCE)
      • MAQUINA HUB ( Enum web port 8082 + FUGUHUB + injeccion revershell en LUA)
      • MAQUINA KEVIN (VULN HP POWER MANAGER 'admin admin' Metasploit PrivEsc 'hp manager filename' Metasploit BufferOverflow 'MANUAL')
      • MAQUINA LEVRAM (Exploit GERAPY 0.9.6 RCE searchsploit + PRIVESC 'CAPABILITES python3.10')
      • MAQUINA MEDJED (WEBDAV BarracudaDrive 6.5 + Revershell .php creado con msfvenom + PrivEsc local barracudadrive 6.5)
      • MAQUINA NUKEM (WORDPRESS 5.5.1 ABUSED PLUGINS SIMPLE LIST 4.4.2 PIVOTING USER MYSQL PASSOWORD PIVOTING PUERTO Y TUNELIZACION SSH PRIVESC 'DOSBOX' CAMBIO DE PERMISOS SUDOERS CON REMMINA)
      • MAQUINA PASS (FlatPass 1.2 Vuln 'file upload bypass RCE' Privesc 'apt get')
      • MAQUINA PELICAN (RCE ZooKeeper v1 Web UI + RCE + PrivEsc 'gcore pid + extract password 'strings' = root)
      • MAQUINA RAY PROJECT CVE 2023 6019 (COMMANDO INJECTION RAY PROJECT)
      • MAQUINA SHENZI (Enum SMB 'nullsesion' + Directory Web = Nombre del recurso compartido + WORDPRESS RC
      • MAQUINA BRATARINA (SMB null session + RCE 'OPENSMTPD 2.0.0') + (MODIFICACION passwd 'agregar password' + Subscribir archivo etc passwd)
      • MAQUINA SQUID (web proxy SQUID 4.14 + 'RCE UPLOAD script' PHPMYADMIN 5.0.2)
      • MAQUINA PC (PortForwarding port 65432 - PrivEsc 0-day 2022 rpc.py)
      • MAQUINA FUNBOXEASY (Enum directory - RCE .php - Pivoting User - PrivEsc SUDO-L)
      • MAQUINA SLORT (Enum de directorios Acceso a la maquina con LFI and RCI PrivEsc Auto Elevated Executable Hijacking)
      • MAQUINA PASSPORT (Enum Directorios ss2john id rsa PrivEsc Creacion de archivo con permisos SUID)
      • MAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)
      • MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)
      • MAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)
  • 🥸CHEET-SEET
    • CheetSeet WPSCAN
  • 🐋DOCKERLABS
    • Writeup
      • MAQUINA WALKINGCMS
      • MAQUINA PN (EXPLOIT UPLOAD .WAR TOMCAT - RCE 'MSFVENOM')
  • 👺Road-to-BSCP
    • Page 4
  • 🖥️THEHACKLABS
    • Writeups
      • MAQUINA TORRIJAS(CMS WORDPRESS 6.7.2, WPSCAN PLUGINS 'WP DIRECTORY FREE 1.7.9 LocalFileInclusion PRIVESC bpftrace)
      • MAQUINA FACULTAD (Enum WPSCAN - wordpress UPLOAD RCE WP-FILE-MANAGER - PrivEsc SUDO -L RCE)
Powered by GitBook
On this page
  1. Proving Ground Practice and Play
  2. Writeup

MAQUINA HUTCH (Netexec LDAP enum - PrivEsc Netexec DUMP Laps)

PreviousMAQUINA PYLOADER (pyload 0.5.0 Rce No autenticado)NextMAQUINA GAARA (Brute Force SSH PrivEsc 'gdb' gtfobins)

Last updated 1 month ago

MAQUINA HUCH

Enumere los puertos de la maquina usando nmap.

nmap -p- --open -sS --min-rate 4000 -v -Pn 192.168.142.122 -oG basicScan.txt

Este escaneo me va a mostrar solamente los puertos abiertos.

Ejecute otro tipo de escaneo, ahora este escaneo me va a mostrar todos los servicios y sus versiones de los puertos encontrados.

nmap -p[rango de puertos encontrados] -sCV 192.168.142.122 -oN fullservice.txt

Revise el informe de nmap y encontré un dominio llamado "hutch.offsec" que lo agregue a mi

/etc/hosts.

Con el puerto 88 abierto ya se que estoy ante un DC, luego use netexec para identificar ante que Windows me estoy enfrentando.

Observe a primera vista que al pasarle una null sesion para identificar el OS me devolvió un [+] lo que quiere decir que podría tener permisos para realizar alguna accion en la maquina.

Leyendo un poco pude ver que si en la maquina tiene expuesto el servicio LDAP y si funciona las credenciales en ese servicio puedo ejecutar varios comandos.

En este caso use el comando "--users" donde me devolvió mucha información entre ellos los usuarios del DC.

nxc ldap 192.168.142.122 -u '' -p '' --users

Le indique a netexec que me muestre la query de los "samaccountname" y resulto exitoso lo solicitado.

Este comando me muestra información valiosa entre ella las descripciones {cosa muy importante a tener en cuenta}.

nxc ldap 192.168.142.122 -u '' -p '' --query "(sAMAccountName=*)" ""

Al cabo de un tiempo después de leer detalladamente todo encontré una posible contraseña del usuario FREDDY.

Realice un password spray para ver si esta contraseña puede ser valida con otros usuarios a parte de freddy, pero solamente es valida con dicho usuario.

Otra forma mas sencilla de encontrar los usuario en un formato mas limpio es usando el siguiente método.

-M group-mem -o GROUP="Domain users"

Lo mismo con las descripciones, en este caso es utilizado el siguiente método:

-M get-desc-users

Antes de intentar ingresar a la maquina vía evil-winrm, utilice el método {-M}.

-M laps

Al ejecutar este comando me mostro una contraseña sin usuario. Así que realice otro password spray y me indico automáticamente que pertenece al usuario administrador.

Ingrese con evil-winrm siendo usuario administrador y logre comprometer la maquina.

OTRA FORMA DE ENCONTRAR LA PASSWORD DE ADMINISTRADOR.

En un articulo de " encontré varias formas de aprovechar esta herramienta.

💻
https://www.hackingarticles.in/"