Return

Makine Adı	Seviye	OS	Logo
Return - HTB	Easy	Windows

Walkthrough

nmap çıktısı aşağıdaki gibidir.

Makinenin windows olduğu belli. Ldap, wsman, http gibi görür görmez enum yapacağımız servisler var. İlk olarak null sessionları ldap için denedim ancak olmadı. Bunun üzerine 80 de gezinmeye başladım. Aşağıdaki sayfayı buldum.

Burda svc-printer kullanıcısını yakaladığımı düşündüm ve bunu nmap ile test ettiğimde böyle bir kullanıcının gerçektende var olduğunu anladım. Aklıma bir servis kullanıcısı olduğu için direkt olarak ASREPRoast geldi. Çünkü bu saldırıda parola bilgisine ihtiyaç yok, ancak yine başarılı olamadım. Bunun üerine düşünürken yukarıdaki sayfayı burp'e attım ve incelemeye başladım. Post isteğinde makine ismi vardı : printer.return.local. Buradaki ismi 127.0.0.1 ile değiştirdiğimde bir şey değişmedi. Daha sonrasında kendi ip adresimi verdim ve sayfa geç yüklendi. Bu demek oluyorki sayfa gerçekten arkaplanda birşeyler yapıyor. Kendimde ldap portunu nc ile dinledim ve olanlar oldu.

Daha sonrasında evil-winrm ile içeri girdim ve user flagibi okudum.

Artık priv için hazırım. Otomtik scriptleri çalıştırdım, winpeas arkaplanda çalışırken bloodhound başlattım. Bloodhound'da çok bir şey çıkmadı ancak sahip olduğum kullanıcı birçok gruba üye.

Evet bingo! Server Operators ile servisleri modify edebiliyoruz. binary path'i değiştirip daha sonrasında servisi tekrar başlatabilirim. Bunun için sunucuya nc64.exe yükledim ve vss servisinin binary pathini değiştirip, çalıştırdım. Bu işlemi yaparken https://cube0x0.github.io/Pocing-Beyond-DA/ sayfası bana referans oldu.

Harika!