Hack The Box | TheFrizz | Hacking Active Directory

Описание: No vídeo de hoje vamos ownar a máquina TheFrizz do HackTheBox.
Essa é uma máquina de nível médio, onde exploraremos um software vulnerável rodando em uma aplicação web (CVE-2023-45878) para obter o acesso inicial.

Durante o processo, vamos:
Obter credenciais através da enumeração inicial;
Acessar o banco de dados MySQL para descobrir novas senhas;
Realizar um login não padrão via SSH com ticket Kerberos;
Encontrar arquivos na lixeira e executar um password spray para identificar o usuário correto;
Utilizar o BloodHound para analisar permissões e escalar privilégios abusando da criação de novas GPOs até chegar ao administrador.

🔥 Esse conteúdo é perfeito para quem está se preparando para certificações como o OSCP ou deseja evoluir em pentest de Active Directory.

Se curtir o vídeo, deixa o like 👍, se inscreve no canal e ativa o sininho 🔔 para não perder os próximos conteúdos de pentest, hacking e segurança ofensiva.


00:00 Introdução
01:02 Nmap
02:28 Enumerando aplicação Web
04:07 Exploit Gibbon
06:21 Enumeração com usuário w.webservice
08:33 Acesasndo mysql interno
11:02 Identificando Hash para quebra de senha
11:53 Quebrando hash com hashcat
14:00 Validando credenciais obtidas
18:10 Obtendo ticket para login via kerberos
19:37 Logando no SSH via Ticket Kerberos
20:03 Enumeração com o usuário f.frizzle
20:33 Dump de arquivos 7z dentro da lixeira
22:50 Verificando conteúdo dos arquivos 7z
24:55 Preparando o Password Spray
26:07 Realizando o Password Spray com Kerbrute
27:32 Logando no SSH via Ticket Kerberos novamente
28:30 Extrando informação do dominio com BloodHound
31:55 Enviando SharpGPOAbuse para a maquina alvo
33:33 Criando GPO nova e obtendo acesso administrativo
37:19 Inscreva-se!