Me ha gustado mucho la maquina Cronos porque para ser una maquina de dificultad media me ha llevado muy poco tiempo realizarla, he sabido rapidamente por donde atacar, la herramienta dig nos reporta informacion muy valiosa y con una simple SQLi bypasseamos el login, luego encontrar la forma de explotar la utilidad ha sido bastante facil, y el privesc mejor no os cuento nada y así mirais el writeup :)
Tenet es una maquina perfecta para aprender PHP, me ha obligado a leerme mucho codigo php y entender a bajo nivel como funciona la serializacion y deserializacion de codigo PHP, luego la escalada me ha gustado bastante, esta vez no es abusando de un permiso o cualquier cosa, esta vez hay que pensar bien como se puede vulnerar y aprovecharnos de un script
La maquina GrandPa nos vuelve a enseñar lo importante que es enumerar versiones de los servicios, gracias a ello conseguiremos encontrar un BOF que nos conseguirá acceso al sistema, y luego la escalada como la mayoria de maquinas tendremos que identificar un privilegio y jugar con churrasquito
Monteverde se centró en Azure Active Directory. Primero, miraré RPC para obtener una lista de usuarios y luego verificaré si alguno usó su nombre de usuario como contraseña. Con los créditos de SABatchJobs, obtendré acceso a SMB para encontrar un archivo de configuración XML con una contraseña para uno de los usuarios en el cuadro que tiene permisos de WinRM. Desde allí, puedo abusar de la base de datos del directorio activo de Azure para filtrar la contraseña de administrador.
En TheNoteBook vamos a aprender a como usar las cookies a nuestro favor, gracias a ellas vamos a editar un JWT a nuestro antojo para convertirnos en admin de la web, subiremos una shell.php a la web para ganar acceso y una vez dentro obtendremos una clave ssh, en la escalada de privilegios nos toparemos con un CVE-2019-5736
Valentine nos enseñara lo importante que es buscar bien informacion en google y el uso de los scripts de nmap .nse, usaremos heartbleed para obtener la contraseña de una clave SSH que encontremos a través de la enumeración. Luego gracias a pspy vemos que se está ejecutando el comando tmux del cual nos aprovecharemos para escalar privilegios
Sauna fue una buena oportunidad para jugar con los conceptos de Windows Active Directory empaquetados en una caja de dificultad fácil. Comenzaré usando una fuerza bruta de Kerberoast en los nombres de usuario que encontre en la pagina web, luego descubriré que uno de ellos tiene la bandera configurada para permitirme obtener su hash sin autenticarme en el dominio. Haré AS-REP Roast para obtener el hash, romperlo y obtener una shell. Encontraré las credenciales de los próximos usuarios en la clave de registro de AutoLogon. BloodHound mostrará que el usuario tiene privilegios que le permiten realizar un ataque DC Sync, que proporciona todos los hashes de dominio, incluidos los administradores, que usaré para obtener un shell.
Una de las cosas interesantes de HTB es que expone conceptos de Windows a diferencia de cualquier CTF con el que me hubiera encontrado antes. Forest es un gran ejemplo de eso. Es un controlador de dominio que me permite enumerar usuarios a través de RPC, atacar Kerberos con AS-REP Roasting y usar Win-RM para obtener un shell. Entonces puedo aprovechar los permisos y accesos de ese usuario para obtener las capacidades de DCSycn, lo que me permite descargar hashes para el usuario administrador y obtener un shell como administrador. En Beyond Root, veré cómo se ve DCSync en el cable y veré la tarea automatizada de limpieza de permisos.
Bastion era una caja sólida y fácil con algunos desafíos simples como montar un VHD desde un recurso compartido de archivos y recuperar contraseñas de un programa de bóveda de contraseñas. Comienza, de manera algo inusual, sin un sitio web, sino más bien con imágenes vhd en un recurso compartido SMB, que, una vez montadas, brindan acceso a la colmena del registro necesaria para extraer las credenciales. Estas credenciales brindan la capacidad de ingresar al host como usuario. Para obtener acceso de administrador, aprovecharé la instalación de mRemoteNG, extraeré los datos del perfil y los datos cifrados, y mostraré varias formas de descifrarlos. Una vez que separe la contraseña de administrador, puedo ingresar como administrador.
Active fue un ejemplo de una caja fácil que aún brindaba muchas oportunidades para aprender. El cuadro se centró en las vulnerabilidades comunes asociadas con Active Directory. Existe una buena posibilidad de practicar la enumeración de SMB. También brinda la oportunidad de usar Kerberoasting contra un dominio de Windows, lo cual, si no es un pentester, es posible que no haya tenido la oportunidad de hacerlo antes.
