CPTS – Ejericios Resueltos
(Certified Penetration Tester Specialist)
Hack The Box
Password Attacks (Pass The Certificate)
Password Attacks (EJERCICIO FINAL)
Password Attacks (Pass The Certificate)
Pass The Certificate
(HTB)
Enlace a writeup –> PDF -> PassTheHashExercisesSolution
–WINDOWS
Pass-the-Certificate
Técnica que permite autenticarse en un entorno Active Directory usando un certificado (en vez de contraseña o hash) para obtener un TGT (Ticket Granting Ticket) vía Kerberos como jpinkman.
Herramientas involucradas:
Certipy
Enumera plantillas de certificados y sus permisos.
Solicita certificados si la plantilla es vulnerable.
Exporta archivos
.pfxque se usan para autenticación.
pywhisker
Abusa del atributo
msDS-KeyCredentialLinkpara insertar certificados.Permite acceso a una cuenta sin conocer la contraseña si se puede modificar ese atributo.
printerbug.py
Fuerza autenticación del controlador de dominio hacia un objetivo.
Se usa junto a ataques de relay (ej. con ntlmrelayx).
PKINITtools → gettgtpkinit.py
Utiliza certificados
.pfxpara realizar autenticación Kerberos (PKINIT).Obtiene un TGT que puede usarse para autenticarse en servicios como WinRM, SMB, LDAP, etc.
Técnica general (flujo resumido):
Enumerar plantillas vulnerables con
Certipy.Solicitar un certificado válido para una cuenta (formato
.pfx).Obtener un TGT usando
gettgtpkinit.pycon ese certificado.Usar el ticket con herramientas como
klist,evil-winrm,smbclient, etc.Alternativamente, usar
pywhiskerpara agregar un certificado a una cuenta si se tiene permisos sobremsDS-KeyCredentialLink.
Password Attacks (EJERCICIO FINAL)
Ejercicio Final
(HTB)
Enlace a writeup –> PDF -> Evaluación_de_habilidades_Ejercicio_Resuelto
–WINDOWS
Evaluación de habilidades: ataques de contraseña
-Descubrimiento de usuario mediante creación de diccionario personalizado y fuerza bruta con contraseña con netexec.
-Pivoting a red interna con Ligolo-NG. Se compromete una máquina inicial y se establece un túnel reverso con Ligolo-NG, permitiendo enrutar tráfico desde Kali hacia la red interna del dominio.
-Acceso a recursos compartidos por SMB.
-Descubrimiento de archivo de contraseñas psafe3, y uso de pwsafe2john.py para obtener el hash, y crackeo.
-Descarga de gestor de contraseñas Password Safe para ver contraseñas del archivo encontrado .safe3
-Acceso al controlador de dominio (DC)
-Se accede remotamente al DC (xfreerdp y evil-winrm) usando credenciales válidas.
-Extracción de secretos del AD
-Con secretsdump.py se extraen hashes NTLM, DCC2.
-Cracking de hashes con John the Ripper y Hashcat para descifrar las contraseñas a partir de los hashes recolectados, empleando ataques de diccionario (por ejemplo, con rockyou.txt).
-Creación de copia VSS (Volume Shadow Copy)
-Se utiliza wmic para crear una copia sombra del volumen C:, que permite acceder a archivos bloqueados del sistema como:
C:\Windows\NTDS\NTDS.dit
C:\Windows\System32\config\SYSTEM-Extracción de hash de Administrator con secretsdump.py
MÁQUINAS EJPTV2
Máquinas resueltas:
Lame
Traverxec
Academy
Brainfuck
Friendly
Devel
Root me
Máquinas resueltas:
-Aquí podrás encontrar diferentes técnicas aplicadas en la resolución de diferentes máquinas : LINUX y WINDOWS
-Podrás ver el writeup completo desde el enlace.
-Todas las máquinas han servido como preparatoria del eJPT y del OSCP.
Lame
LAME
(HTB)
Enlace a writeup –> PDF -> Máquina Lame
–LINUX
- -Acceso por SMB vsftpd 2.3.4 (Encontramos script en github para explotarlo y obtener conexión como root)
Traverxec
TRAVERSEC
(HTB)
Enlace a writeup –> Máquina Traversec (HTB)
–LINUX
- -Enumeración
- -Metasploit
- -Descifrado de contraseñas
- -Descifrado de claves SSH
Academy
ACADEMY
(HTB)
Enlace a writeup –> Máquina Academy (HTB)
–LINUX
- -Enumeración web y Linux
- -Burpsuite
- -Deserialización de tokens de Laravel
- -Composer
- -Tratamiento de TTY
- -Uso de exploits de github
Brainfuck
BRAINFUCK
(HTB)
Enlace a writeup –> PDF -> Máquina BRAINFUCK
–LINUX
- -Telnet
- -WPSCAN
- -Encriptado Vigenere (con clave)
- -Crackear id_rsa con john.
- -Conexión.
- -Linux/Fundamentos
- -Linux/SSH con id_ssa encrypted
- -ESCALADA DE PRIVILEGIOS
- -Conversion Decimal a Hexadecimal y a string
Friendly
FRIENDLY
(HackMyVM)
Enlace a writeup –> PDF -> Máquina Friendly
–LINUX
- -Escaneo con nmap -ftp-anon
- -Anonymous FTP
- -Login. Puerto 21
- -Subir shell PHP desde FTP
- -Recibir conexión por netcat
- -ESCALADA CON ‘VIM’ O ‘VI’
Devel
DEVEL
(HTB)
Enlace a writeup -> Máquina Devel
–WINDOWS
- -Conocimiento básico de Windows
- -Enumeración de puertos y servicios
- -Identificación de servicios vulnerables
- -Explotación de credenciales débiles
- -Msfvenom
- -Uso de exploits
- -Técnicas básicas de escalada de privilegios de Windows
Root me
ROOT ME
(THM)
Enlace a writeup –> PDF -> Máquina RootMe
–LINUX
- -Enumeración con nmap
- -Fuzzing con WFUZZ
- -Script PHP para ejecutar cmd
- -Configuracion Firefox – Burpsuite
- -Subida de archivos Burpsuite (Cambio de .php por .phtml)
- -Escalada permisos SUID
- -Script en python para convertirnos en root
Blog
Basic Pentesting
Vulnet : Roasted (AD)
Pickle Rick
Dark Hole 1
Symfonos
Blue
Blog
BLOG
(THM)
Enlace a writeup –> PDF -> Máquina Blog
–LINUX
- -Enunerar SMB con ‘enum4linux’
- -Para enumerar recursos compartidos: ‘smbmap’ y ‘smbclient’
- -WPSCAN
- -Fuerza bruta con WPSCAN
- -Ruta con WPSCAN
- -msfconsole : RCE de WordPress
- -ESCALADA DE PROVILEGIOS
- -Escalada por SUID
- -MANERA 1 ( Manual )
- -MANERA2 ( eJPT )
Basic Pentesting
BASIC PENTESTING
(THM)
Enlace a writeup –> PDF -> Máquina Basic pentesting
–LINUX
- -WFUZZ
- -445 Samba
- -Enunerar SMB con ‘enum4linux’
- -Hydra – Fuerza bruta
- -Hash Cracking
- -id_rsa (ENCRYPTED)
- -ssh2john
- -Cracking de hash con john
Vulnet : Roasted (AD)
VULNET: ROASTED
(THM)
Enlace a writeup –> PDF -> Máquina vulnet roasted
–WINDOWS (Active Directory)
- -‘impackets’ – Validar usuarios (Windows – Active Directory)
- -‘impackets-lookupsid’
- -Kerberoasting Attack
- -‘impackets-GetNPUsers’
- -crackmapexec
- -smbmap
- -impacket-secretsdump
- -PASS THE HASH (Windows)
- -impacket-wmiexec
Pickle Rick
PICKLE RICK
(Vulnhub)
Enlace a writeup –> PDF -> Máquina pickle rick
–LINUX
- -Fuzzing Gobuster
- -nmap -> script http-enum
- -‘less’ en lugar de ‘cat’
- -Reverse shell con ‘perl’
- -ESCALADA -> sudo -l –> ALL
Dark Hole 1
DARK HOLE 1
(VulnHub)
Enlace a writeup –> PDF -> Máquina DarkHole 1
–LINUX
- -Cambio de contraseña Burpsuite
- -Subida de archivo PHP y extensiones
- -RCE
- -TRATAMIENTO TTY
- -ESCALADA DE PRIVILEGIOS
- -PATH HIJACKING
- -Asignar SUID a root
- -bash -p –> root
Symfonos
SYNFONOS
(HTB)
Enlace a writeup –> PDF -> Máquina Synfonos
–LINUX
- -smbmap
- -WPScan
- -Enumerar PLUGINS
- – MANERA 2:
- -LOG POISONING
- -Conexión Netcat y subir archivo al SMTP
- -TRATAMIENTO TTY
- -ESCALADA
- -Por Permisos SUID
- -PAHT HIJACKING
Blue
BLUE
(THM)
Enlace a writeup –> PDF -> Máquina Blue
–WINDOWS
- -MS17-010 ETERNAL BLUE
- -Payload para obtener SHELL
- -Convertir SHELL en Sesion Meterpreter
- -‘migrate’ fortalecer la sesion
- -Cracking
- -Ruta almacén contraseñas Windows
- -Buscar ruta de archivo en Windows
Ice (AD)
Blaster
Ignite
Startup
Codify
Pilgrimage
Wgel CTF
Ice (AD)
ICE
(THM)
Enlace a writeup –> PDF -> Máquina Ice
–WINDOWS (Active Directory)
- -Microsoft Remote Desktop
- -(MSRDP) —> Port 3389
- -Icecast searchsploit
- -Comandos Kiwi
- -Webcam comandos
- -Conexión por rdesktop (Escritorio Remoto)
- -Golden Ticket
Blaster
BLASTER
(THM)
Enlace a writeup –> PDF -> Máquina Blaster
–WINDOWS
- -Credenciales en Entradas de BLOC
- -RDP (Remote Desktop) -> remmina
- -Escalada desde Escritorio Remoto
- -Escalada desde consola Metasploit
- -PERSISTENCIA con metasploit
Ignite
IGNITE
(THM)
Enlace a writeup –> PDF -> Máquina Ignite
–LINUX
- -CMS Fuel version 1.4
- -Exploit en python2
- -RCE
- -Reverse Shell
- -TRATAMIENTO TTY
- -Credenciales en ruta de configuración del plugin fuel: database.php
- -Acceso a base de datos mysql con credenciales, obtencion del hash de root
Startup
STARTUP
(THM)
Enlace a writeup –> PDF -> Máquina Startup
–LINUX
- -Conexión por ftp y transferencias de archivos
- -Fuzzing con Gobuster
- -Reverse_shell.php por ftp
- -Credenciales en archivo .pcapng
Codify
CODIFY
(Vulnhub)
Enlace a writeup –> PDF -> Máquina Codify
–LINUX
- -Input de peticion – respuesta vulnerable de Node.js a RCE
- -CVE Node.js (vm2)
- -$ 2a $ bcrypt Hash – hashcat
- -Escalada con sudo -l
- -Permiso de ejecución de script como root
- -sudo -l -> sudo /opt/scripts/mysql-backup.sh
- -Comodines para explotar vulnerabilidad
- -{valid_password_char}{ * }
- -Script que automatiza búsqueda de contraseña
Pilgrimage
PILGRIMAGE
(HTB)
Enlace a writeup –> PDF -> Máquina Pilgrimage
–LINUX
- -Explotación Web
- -Subida de archivos y procesamiento interno
- -Fuzzing
- -Directorio .git y herramienta git-dumper
- -Análisis de metadatos de imagen con exiftool y identify
- -ImageMagick exploit
- -Pspy para análisis de procesos de ejecución
- -SQL
- -Escalada de privilegios
- -Binwalk (Analizador) Exploit
Wgel CTF
WGEL CTF
(THM)
Enlace a writeup –> PDF -> Máquina WGEL CTF
–LINUX
- -Inspección del código fuente
- -Fuzzing de directorios
- -id_rsa
- -ssh
- -Escalada sudo -l (/usr/bin/wget)
- -Escalada con wget
MÁQUINAS OSCP
Timelapse
Sauna (AD)
Active (AD)
Calamity
Shocker
Bashed
Shuriken 1
Algernon
Banzai
Bratarina
Administrator (AD)
Bastard (AD)
Timelapse
TIMELAPSE
(HTB)
Enlace a writeup –> PDF -> Máquina Time Lapse
–WINDOWS
- -Enumeración SMB
- -Cracking de archivo ZIP protegido por password (fcrackzip)
- -Cracking de archivo .PFX (crackpkcs12)
- -Ganar acceso con evil-wrinrm por SSL
- -Information Lekeage – Lectura de historial de Powershell (Pivoting de usuario)
- -Abusar de LAPS para obtener credenciales. (Get-LAPSPasswords.ps1)
- -Escalada de privilegios.
Sauna (AD)
SAUNA
(HTB)
Enlace a writeup –> PDF -> Máquina Sauna
–WINDOWS (Active Directory)
- -Fuga de información
- -Enumeración de LDAP
- -Enumeración de usuarios de Kerberos: Kerbrute
- -Ataque ASRepRoast (GetNPUsers)
- -Descifrado de hashes
- -Enumeración del sistema: WinPEAS
- -Credenciales de inicio de sesión automático
- -BloodHound: SharpHound.ps1
- -Ataque DCSync: Secretsdump [Escalada de privilegios]
- -PassTheHash
Active (AD)
ACTIVE
(HTB)
Enlace a writeup –> PDF -> Máquina Active
–WINDOWS (Active Directory)
- -Enumeración SMB
- -Abuso de contraseñas GPP
- -Descifrado de contraseñas GPP – gpp-decrypt
- -Ataque Kerberoasting (GetUserSPNs.py) [Escalada de privilegios]
Calamity
CALAMITY
(HTB)
Enlace a writeup –> PDF -> Máquina Calamity
–LINUX
- -RCE – Inyección PHP:
- -FAKE WEB SHELL:
- -Esteganografía en archivo de audio .wav.
- -Audacity
- -LXD (grupo de Usuario) – Exploit (64 o 32 bits).
Shocker
SHOCKER
(HTB)
Enlace a writeup –> PDF -> Máquina Shocker
–LINUX
- -Puerto 80 Fuzzing con dirbuster de Directorios y archivos
- -Directorio /cgi-bin
- -SHELLSHOCK ATTACK:
- -Escalada sudo -l (/usr/bin/perl)
Bashed
BASHED
(HTB)
Enlace a writeup –> PDF -> Máquina Bashed
–LINUX
- -Reverse shell desde consola web.
- -Escalada sudo -l -> usuario (ALL):
- -Emumeración del sistema:
- -Modificar script que se ejecuta por root en tarea cron, para darnos SUID a la bash
Shuriken 1
SHURIKEN 1
(HTB)
Enlace a writeup –> PDF -> Máquina Shuriken 1
–LINUX
-Enumeración web
-Inspección de código JS
-Fuga de información
-Inclusión de archivos locales (LFI + contenedor Base64)
-Virtual Hosting
-Enumeración de subdominios
-Abuso de LFI – Lectura de archivos de configuración de Apache
-Descifrado de hashes
-Explotación de ClipBucket v4.0 – Carga maliciosa de archivos PHP
-Abuso de privilegios de sudoers (/usr/bin/npm) – Migración de usuarios
-Monitoreo de procesos – PSPY
-Abuso de trabajos cron – Análisis de scripts de Bash
-Abuso de comodines (comando tar) – Escalada de privilegios
Algernon
ALGERNON
(Offsec)
Enlace a writeup –> PDF -> Máquina Algernon
–WINDOWS
- -HTTP – Windows
- -SmarterMail
- -Exploit RCE
Banzai
BANZAI
(Offsec)
Enlace a writeup –> PDF -> Máquina Banzai
–LINUX
- -Acceso FTP como admin (Credenciales por defecto)
- -Subida de reverse shell en PHP desde FTP y ejecución desde servicio web.
- -Exploit Mysql 5.7.3 – Escalada a root – github :
Bratarina
BRATARINA
(Offsec)
Enlace a writeup –> PDF -> Máquina Bratarina
–LINUX
- -445 – Escaneo exaustivo a SMB:
- -Nmap al 445 – SMB
- -Enum4linux
- -SMB-client y RPC-client
- -22 – Hydra – Fuerza bruta a SSH
- -25 – SMTP – Exploit OpenSMPTP (CVE 2020-7247) – RCE – Escalada a root
- -Prueba de varias Reverse shells
Administrator (AD)
ADMINISTRATOR
(HTB)
Enlace a writeup –> PDF -> Máquina Administrator (Active Directory)
–WINDOWS (Active Directory)
- -Enumeración SMB (Netexec, Smbmap)
- -Listado de usuarios existentes a nivel de dominio (rpcclient)
- -Enumeración LDAP (ldapdomaindump)
- -Prueba de Kerberoasting y ataques ASRepRoast
- -Bloodound (versión Docker)
- -Enumeración de DC
- -Abuso de GenericAll Right (net rpc) [Cambiar contraseña de usuario]
- -Abuso de ForceChangePassword (net rpc) [Cambiar contraseña de usuario]
- -Enumeración FTP
- -Instalación de Password Safe (pwsafe) en Linux
- -Extracción del hash del archivo PSafe3 para su posterior descifrado
- -Cracking Hashes
- -Abrir el archivo PSafe3 con Password Safe y ver las credenciales del usuario
- -Abuso de GenericWrite Right (targetedKerberoast.py) + Descifrado de hashes
- -Escalada Abuso del privilegio GetChanges/GetChangesAll (ataque dcsync – secretsdump.py)
Bastard (AD)
BASTARD
(HTB)
Enlace a writeup –> PDF -> Máquina Bastard
–WINDOWS (Active Directory)
- -Enumeración de Drupal
- -Servicios del módulo Drupal 7.X: Ejecución remota de código [Inyección SQL]
- -Secuestro de cookies de administración de Drupal
- -Drupal < 7.58 / < 8.3.9 / < 8.4.6 / < 8.5.1 – Ejecución remota de código ‘Drupalgeddon2’
- -SA-CORE-2018-004 – Ejecución remota de código ‘Drupalgeddon3’
- -Enumeración de Sherlock (Escalada de privilegios)
- MANERA 1: -MS15-051-KB3045171 – Explotación del kernel
- MANERA 2: -Abuso del privilegio SeImpersonate
Videos
Máquina Keeper – Hack The Box.
– Default credential para el sistema web de emisión de tickets.
– Enumeración.
– Acceso por SSH.
– Volcado de base de datos KeePass (gestor de contraseñas).
– Recuperación de la contraseña maestra. Con acceso a la base de datos `Keepass`.
– Acceso a las claves raíz `SSH`, que se utilizan para obtener un shell privilegiado en el host.
Máquina Sau – Hack The Box.
– Server Side Request
– Remote Code Execution en panel de Login de Mailtrail.
Máquina Broker – Hack The Box.
-Uso de Exploit CVE-2023-46604.
-Nginx Configuration File
-Pentesting y Ciberseguridad
Máquina My Expense – Vulnhub.
–Resolución de la máquina My Expense de VulnHub.
-Pentesting y Ciberseguridad
srubi00000@gmail.com
Madrid, Spain
– Politica de privacidad – Política de Cookies – Aviso Legal
WordPress