Search 🔎🖥️

TryHackMe|Atlas WriteUp\Walkthrough (English)

By

Atlas

Room Link: https://tryhackme.com/r/room/atlas

================================================================

  • First scan the target using nmap. There are two ports open, 3389 and 8080. If you tried to do a service scan on both ports it won’t work, because the script will not be able to identify the service on 8080. So do another service scan on port 3389 only.
This port has RDP running.
  • No visit port 8080 using your browser. You will meet a basic auth page and you will not be able to obtain any information. Therefore, try to make a request to this page using curl with -v to see the headers.

ThinNVC is a protocol just like RDP that provides you with a desktop access to a remote machine. The difference here is that it gives you an access using your browser.

  • Now that you know which protocol. Search for any exploit for this.

Indeed there is, however it has many mistakes, clone this repository https://github.com/MuirlandOracle/CVE-2019-17662 then run the python exploit in it. you will get the credentials back. In order to run this exploit you need to provide the IP and the port for the target.

Now that you have the credentials, log in to the target using RDP, as it is more stable.

xfreerdp /v:10.10.169.122 /u:Atlas /p:H0ldUpTheHe@vens /cert:ignore +clipboard /dynamic-resolution /drive:/tmp,share. Here we made our /tmp directory linked to a folder called share on the target machine.
  • Now that you have an initial foothold on the target, start looking for a privilege escalation technique you can use. Print Spooler is a Windows service enabled by default in all Windows clients and servers. This service spools print jobs and handles interaction with the printer. If you turn off this service, you won’t be able to print or see your printers. This service is notorious for privilege escalation vulnerabilities. It runs with the maximum available permissions (under the NT AUTHORITY\SYSTEM account). Clone this repository https://github.com/calebstewart/CVE-2021-1675 it has a recent vulnerability. Save the .ps1 script in your /tmp directory for easier access from the target.
  • Now open a PowerShell window. From there do the following

First run the .ps1 script from your /tmp directory which is linked to share in the target system using this command {. \\tsclient\share\CVE-2021-1675.ps1} , we use \\tsclient\ to access the share, and the dot-syntax(which is present at the beginning of the command) to import any functions exposed by the script. Then you will be prompted to choose between D or R or S ?, choose R. Now you are ready to run the exploit using Invoke-Nightmare. Now it will create a new account with administrator privileges, and it will provide you with the credentials. whoami /groups

This command output means that you are running as an administrator with full access over the machine. 

Now you need to open cmd with administrative privileges, you can do this by right clicking on cmd >> run as administrator, or by using this command Start-Process powershell 'Start-Process cmd -Verb RunAs' -Credential adm1n.

  • Once you are in your privileged cmd window. You can use Mimikatz to extract the users' hashes and, most importantly the Administrator’s. First copy Mimikatz to your /tmp then from the target run it using \\tsclient\share\mimikatz.exe. When we start Mimikatz we usually have to execute two commands before we start dumping hashes:
    • privilege::debug -- This obtains debug privileges which allows us to access other processes for "debugging" purposes.
    • token::elevate -- simply put, this takes us from our administrative shell with high privileges into a SYSTEM level shell with maximum privileges. This is something that we have a right to do as an administrator, but that is not usually possible using normal Windows operations.

With these commands executed we can start dumping hashes.
  • lsadump::sam when executed will provide us with a list of password hashes for every account on the machine (with some extra information thrown in as well). The Administrator account password hash should be fairly near the top of the list. Now that you have the Administrator hash, you can save it and log in to the account with evil-winrm or any other protocol that allows the use of hashes.

Comments

Post a Comment

Popular posts from this blog

TryHackMe|Blog WriteUp\Walkthrough (Arabic)

By
Image
بسم الله اللي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:  https://tryhackme.com/r/room/blog ==================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين حقتكم على TryHackMe أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا 4 بورتات، نرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 22,80,139,445 على بورت 22 عندنا SSH ونظام التشغيل لجهاز الضحية هو Ubuntu، وعلى بورت 80 عندنا Apache server، أما بورت 139 و 445 متعلقة بالـsmb. برضو أعطانا في النتائج إن الـhttp generator هو WordPress وبرضو أعطانا رقم النسخة وهو 5.0، وهذه معلومة مفيدة ومهمة.  إذا زرنا الصفحة على بورت 80 في المتصفح، بنلاقي بلوق للمستخدم Billy وفيها بوستات، ولكن ما بداخل هذه البوستات شيء مهم.  و زي ما قال لنا في التحدي، بنضيف الموقع إلى ملف etc/hosts/ على الجهاز الحين بنستفيد من الـsmb على جهاز الض...
Read more

eJPTv2 Exam Review (Arabic)

By
Image
 بسم الله الرحمن الرحيم اختبرت اختبار eJPTv2 والحمدلله حصلت على الشهادة. ← أول شيء، ايش تحتاجون من معرفة سابقة قبل ما تبدؤون الاختبار؟ تحتاجون معرفة بالشبكات ونظام لينكس ونظام ويندوز، في حالة ما كان عندكم معرفة فيها ما بيكفي الكورس اللي يجي مع الشهادة من وجهة نظري، كثير من المواضيع أو اللابات تفترض المعرفة السابقة بهالمواضيع. بالنسبة لويندوز ولينيكس مطلوب فهم التعامل مع النظام بال command line أهم شيء. أما الشبكات تحتاج تكونون فاهمينها كويس وطريقة عملها، لأن في الاختبار بينطلب pivoting وهو الانتقال لشبكة أخرى بواسطة جهاز وسيط تم اختراقه، هذه الخطوة تحتاج فهم جيد للشبكات. إذا كان معاكم معرفة بسيطة بهالمواضيع ممكن تبدؤون الكورس وخلال الدراسة لو في شيء جديد واجهكم تبحثون عنه، لكن إذا مافي معرفة سابقة أنصح بأخذ كورس لأي من النقاط اللي تحتاج منكم تطوير ثم البدء في الشهادة.   ← ثاني شيء، كم أحتاج مدة عشان أحصل على الشهادة ؟ هذه نقطة مهمة 😊 ، المدة تختلف كثييييير لكل شخص ويؤثر عليها هل هذا الشخص سبق وحل تحديات ctf لأنها تعطي مهارة وتسهل بشكل كبير فهم الكورس، برضو تخت...
Read more

TryHackMe|Blueprint WriteUp\Walkthrough (Arabic)

By
Image
بسم الله للي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط: رابط التحدي:   https://tryhackme.com/r/room/blueprint =========================================================== كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـ IP للمشين حقتكم على TryHackMe أول حاجة نشغل الـ machine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap sudo nmap IP -vv طلع معانا عدد كبير من البورتات، لكن بنترك البورتات اللي أرقامها كبيرة وبنركز على أول 7 بورتات، فنرجع نسوي Aggressive سكان عليها sudo nmap IP -vv -A -p 80,135,139,443,445,3306,8080 من خلال السكان عرفنا إن عندنا على بورت 8080 صفحة Index of  نروح نزور الصفحة ونشوف الملفات اللي بداخلها، إذا رحنا للمتصفح على http://IP:8080 بنلاقي مجلد oscommerce-2.3.4 إذا ضغطنا عليه بيودينا على صفحة فيها مجلدين، نضغط على catalog وبيفتح معانا موقع تجارة إلكترونية ولكن أبدا مو مرتب وتعبان جدا، هذا يعطي احتمال إن هذه النسخة من هذا الموقع قديمة وعل...
Read more