Investigation 2

Dernière mise à jour il y a 6 mois

Cet article vous a-t-il été utile ?

Investigation 2

Flag: StarHack{lampard.frank@YOGO.CORP_Number12rocks}

Challenge

Description

Une vulnérabilité a été détectée, et comme nous faisons partie de l'équipe de Forensics, nous avons besoin d'un rapport pour l'équipe. Nous avons obtenu une capture Wireshark, et nous devons maintenant répondre aux questions suivantes :

Quel est le nom d'utilisateur compromis ?

Quel est le domaine ?

Quel est le mot de passe en clair ?

Format du flag : StarHack{username@DOMAIN_MotDePasseUtilisateurCompromis}

Solution

Le fichier pcap contient un bruteforce d'authentification Kerberos. On peut filtrer pour savoir lequel a réussi. Pour ça il suffit de regarder un message d'erreur, ils contiennent le msg_type 30.

On va donc chercher tous ceux différents de 30.

kerberos and kerberos.msg_type != 30 and ip.dst == 192.168.110.155

crealm : le domaine
cname : le nom d'utilisateur
cipher : le hash du mot de passe

Il faut concaténer ces informations de cette façon :

$krb5asrep$<cname>$<crealm>:<cipher_first_16_bytes>$<cipher_remaining>

Ce qui donne :

$krb5asrep$lampard.frank$YOGO.CORP:451e9ed23580ec12803285da1e6f63a2$2e96b27e5117c8a12b8a75ff4ca7363c5a4e82910a95ec7357b236fd3168fddebbcb3495b19290a586dfced257a721f2943d5af23b2bc7ebf4d770437ca2f88bba4a6f03104e3f20ed5b34c22bacd2b2f3f1bf3bdedf269e3d4eaa63fd62619c984a130b57e9d884d74b46663124de8396edf3c8c8ba7f06217d1881801bc916e33a8adddb3799fbd1b8553ff3bac29ca02cf2940f72d1d98a177f763ef1c20fa21d354f3c84a3b23110756547d5bcf93d43f8d93d4084723c5e5cd185b1e0ae01738850f8bacfcc92ea8cd56ddcca89d69aff430e8bb45405e1ac49ee073ffe3c9380119b9c

Maintenant, on peut lancer un hashcat dessus avec le mode 18200.

┌──(kali㉿kali)-[~/StarHack 2024]
└─$ hashcat -m18200 hash.txt /usr/share/wordlists/rockyou.txt --force --potfile-disable
hashcat (v6.2.6) starting

Dictionary cache hit:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344385
* Bytes.....: 139921507
* Keyspace..: 14344385

$krb5asrep$lampard.frank$YOGO.CORP:451e9ed23580ec12803285da1e6f63a2$2e96b27e5117c8a12b8a75ff4ca7363c5a4e82910a95ec7357b236fd3168fddebbcb3495b19290a586dfced257a721f2943d5af23b2bc7ebf4d770437ca2f88bba4a6f03104e3f20ed5b34c22bacd2b2f3f1bf3bdedf269e3d4eaa63fd62619c984a130b57e9d884d74b46663124de8396edf3c8c8ba7f06217d1881801bc916e33a8adddb3799fbd1b8553ff3bac29ca02cf2940f72d1d98a177f763ef1c20fa21d354f3c84a3b23110756547d5bcf93d43f8d93d4084723c5e5cd185b1e0ae01738850f8bacfcc92ea8cd56ddcca89d69aff430e8bb45405e1ac49ee073ffe3c9380119b9c:Number12rocks
                                                          
Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 18200 (Kerberos 5, etype 23, AS-REP)
Hash.Target......: $krb5asrep$lampard.frank$YOGO.CORP:451e9ed23580ec12...119b9c

Status: Cracked ! hashcat a ajouté le mot de passe tout à la fin du hash au dessus de la ligne Session : Number12rocks

On a les 3 informations qu'il nous fallait pour le flag :

username: lampard.frank
domain: YOGO.CORP
password: Number12rocks

StarHack{lampard.frank@YOGO.CORP_Number12rocks}

PrécédentInvestigation 1 SuivantMisc

Dernière mise à jour il y a 6 mois

Cet article vous a-t-il été utile ?

Flag: StarHack{lampard.frank@YOGO.CORP_Number12rocks}

Challenge

Description

Quel est le nom d'utilisateur compromis ?

Quel est le domaine ?

Quel est le mot de passe en clair ?

Format du flag : StarHack{username@DOMAIN_MotDePasseUtilisateurCompromis}

Solution

Le fichier pcap contient un bruteforce d'authentification Kerberos. On peut filtrer pour savoir lequel a réussi. Pour ça il suffit de regarder un message d'erreur, ils contiennent le msg_type 30.

On va donc chercher tous ceux différents de 30.

kerberos and kerberos.msg_type != 30 and ip.dst == 192.168.110.155

Avec un peu de , on peut récupérer le hash du mot de passe dans un AS-REP. Pour ça, il faut récupérer différentes parties des données transmises :

crealm : le domaine
cname : le nom d'utilisateur
cipher : le hash du mot de passe

Il faut concaténer ces informations de cette façon :

$krb5asrep$<cname>$<crealm>:<cipher_first_16_bytes>$<cipher_remaining>

Ce qui donne :

$krb5asrep$lampard.frank$YOGO.CORP:451e9ed23580ec12803285da1e6f63a2$2e96b27e5117c8a12b8a75ff4ca7363c5a4e82910a95ec7357b236fd3168fddebbcb3495b19290a586dfced257a721f2943d5af23b2bc7ebf4d770437ca2f88bba4a6f03104e3f20ed5b34c22bacd2b2f3f1bf3bdedf269e3d4eaa63fd62619c984a130b57e9d884d74b46663124de8396edf3c8c8ba7f06217d1881801bc916e33a8adddb3799fbd1b8553ff3bac29ca02cf2940f72d1d98a177f763ef1c20fa21d354f3c84a3b23110756547d5bcf93d43f8d93d4084723c5e5cd185b1e0ae01738850f8bacfcc92ea8cd56ddcca89d69aff430e8bb45405e1ac49ee073ffe3c9380119b9c

Maintenant, on peut lancer un hashcat dessus avec le mode 18200.

┌──(kali㉿kali)-[~/StarHack 2024]
└─$ hashcat -m18200 hash.txt /usr/share/wordlists/rockyou.txt --force --potfile-disable
hashcat (v6.2.6) starting

Dictionary cache hit:
* Filename..: /usr/share/wordlists/rockyou.txt
* Passwords.: 14344385
* Bytes.....: 139921507
* Keyspace..: 14344385

$krb5asrep$lampard.frank$YOGO.CORP:451e9ed23580ec12803285da1e6f63a2$2e96b27e5117c8a12b8a75ff4ca7363c5a4e82910a95ec7357b236fd3168fddebbcb3495b19290a586dfced257a721f2943d5af23b2bc7ebf4d770437ca2f88bba4a6f03104e3f20ed5b34c22bacd2b2f3f1bf3bdedf269e3d4eaa63fd62619c984a130b57e9d884d74b46663124de8396edf3c8c8ba7f06217d1881801bc916e33a8adddb3799fbd1b8553ff3bac29ca02cf2940f72d1d98a177f763ef1c20fa21d354f3c84a3b23110756547d5bcf93d43f8d93d4084723c5e5cd185b1e0ae01738850f8bacfcc92ea8cd56ddcca89d69aff430e8bb45405e1ac49ee073ffe3c9380119b9c:Number12rocks
                                                          
Session..........: hashcat
Status...........: Cracked
Hash.Mode........: 18200 (Kerberos 5, etype 23, AS-REP)
Hash.Target......: $krb5asrep$lampard.frank$YOGO.CORP:451e9ed23580ec12...119b9c

Status: Cracked ! hashcat a ajouté le mot de passe tout à la fin du hash au dessus de la ligne Session : Number12rocks

On a les 3 informations qu'il nous fallait pour le flag :

username: lampard.frank
domain: YOGO.CORP
password: Number12rocks

StarHack{lampard.frank@YOGO.CORP_Number12rocks}