kali ini kita akan mencoba melakukan solve pada salah satu hackthebox machine dengan judul Cicada jadi let’s get started.
Diberikan suatu IP yaitu 10.10.11.35 langsung kita buka nmap untuk melakukan port enumeration
Disini ada beberapa service yang running, dari result banner grabbing ada port 88 yang menunjukkan kerberos karena tantangan ini menggunakan machine dengan OS windows bisa kita asumsikan jika machine ini menggunakan active directory karena kita melihat protocol LDAP juga terbuka
Mencoba melakukan SMB null session pada port 445
Disini berhasil karena output menampilkan ada beberapa sharename dan kita akan akses sharename yang sekiranya read/write dan setelah dicoba hanya sharename /HR yang dapat kita listing
ada satu file dengan nama Notice from HR.txt dan lakukan get pada SMB untuk download pada machine local kita
Terlihat ada string mencurigakan yaitu Cicada$M6Corpb*@Lp#nZp!8 karena jika kita lihat dari keterangannya bertuliskan default password
Disini kita akan melakukan user enumeration untuk mengetahui username yang ada pada machine tersebut dengan teknik RID bruteforce menggunakan crackmapexec
Dari output yang ditampilkan banyak sekali user pada machine tersebut, jadi kita bisa mem-filter dari output tersebut untuk kemudian dilakukan password spraying dari string yang kita dapatkan sebelumnya. Pertama kita masukan pada sebuah file result-rid.txt dengan semua output dari crackmapexec
dan setelah di filter menggunakan beberapa utility dari linux, output terlihat lebih rapi
Dari output yang didapatkan kita bisa menyimpan pada file, dalam kasus ini kita menyimpan pada file user.txt yang nantinya ini berguna untuk user list pada saat melakukan password spraying.
Salah satu user dengan username michael.wrightson mengindikasikan bahwa credential valid jadi langsung kita coba pada login pada SMB dan mengakses sharename DEV
Tapi disini menunjukkan masih access denied artinya user tersebut tidak memiliki access listing dan read pada sharename, oke kita coba pada protocol lain yaitu LDAP(ligth weight directory access protocol).
Melakukan enumeration users menggunakan ldapsearch dengan command:
ldapsearch -x -H ldap://10.10.11.35 -D ‘CICADA\michael.wrightson’ -w ‘Cicada$M6Corpb*@Lp#nZp!8’ -b “CN=Users,DC=cicada,DC=htb”
Pada user david orelious terdapat description yang menarik, jadi kita coba lagi pada SMB dari credential david.orelious yang didapatkan dari LDAP dan mengakses sharename DEV
Nah akhirnya berhasil, dan terdapat file dengan extenstion ps1 yang merupakan powershell script
Script-nya sangat sederhana dimana script ini digunakan untuk auto backup dan melakukan kompresi, teatapi lagi-lagi ada hal yang menarik yaitu script ini backup menggunakan user emily.oscars dan disana juga terdapat password untuk melakukan authentikasi
Karena ini windows machine kita coba melihat apakah protocol winrm pada port 5985 di enable
Disini port 5985 terbuka, jadi winrm sendiri berfungsi untuk melakukan management windows CLI dari jarak jauh atau remote, secara konsep hampir mirip dengan SSH tapi uniknya winrm menggunakan protocol HTTP. selanjutnya kita coba login pada winrm menggunakan evil-winrm dari credential emily.oscars yang didapatkan
Dan disini valid, kita juga berhasil mendapatkan flag untuk user.txt sekarang kita perlu privilege escalation atau meningkatkan hak akses ke Administrator untuk mendapatkan root flag
Saat mencoba melihat privilege pada user emily.oscars menggunakan command whoami /all, disitu terlihat jika privilege SeBackupPrivilege diaktifkan artinya user emily.oscars mampu melakukan backup data pada system, dimana hal ini berarti user tersebut mempunyai akses READ pada semua file jadi kita bisa memanfaatkan untuk membaca SAM(Security Account Manager) yaitu merupakan windows database berisi informasi krusial mengenai account yang ada pada system
Kita bisa memanfaatkan command reg query untuk mendapatkan file sam dan system dari registry lalu kita download pada machine local kita dengan command download
Setelah didapatkan pada machine local kita bisa extract informasi credential menggunakan impacket secretdumps
Terlihat output menunjukkan informasi account dari uid hingga hash dan juga pada informasi kita bisa melihat disitu ada account Administrators. Nah disini tidak ada plain-text password tetapi kita hanya mempunyai hash darisini kita bisa memakai teknik yang dikenal dengan Pass the Hash yang merupakan methode authentikasi menggunakan hash bukan plain-text password
Kita dengan mudah menggunakan evil-winrm dengan opsi -H di ikuti dengan hash-nya
Disini terlihat kita mendapatkan akses tertinggi yaitu Administrator dan juga kita berhasil mendapatkan root flag
Kesimpulan
Challenge ini sangat menarik dan dari sini kita bisa belajar mengenai beberapa teknik pada windows pentesting serta cara exploitasi, dan yang dipahami dari challenge ini untuk mendapatkan akses ke salah satu server/machine itu tidak selalu harus memerlukan celah seperti CVE ataupun zeroday tapi lebih menekankan ke misconfiguration karena human error itu selalu menjadi masalah utama dalam security. Mungkin itu saja WriteUp kali ini dan selamat belajar.
“Jika Kamu tidak sanggup menahan lelahnya belajar maka kamu harus sanggup menahan perihnya kebodohan” -Imam Syafi’i