Info de la Box
| Plataforma | HackTheBox |
| Dificultad | Medium |
| OS | Windows |
| Técnicas Clave | Password Spraying, Extracción de Credenciales de Azure AD Connect |
Resumen del Ataque
Enumeramos usuarios del dominio → password spraying encontró la cuenta SABatchJobs → usamos esas creds para acceder shares SMB → encontramos azure.xml con la password de mhope → nos logueamos como mhope vía evil-winrm → mhope es miembro del grupo Azure Admins → extrajimos credenciales de Azure AD Connect → Domain Admin.
Enumeración
sudo nmap -p- -Pn -T4 $ip -oN nmap/tcp_scan
sudo nmap -sCV -p <PORTS> -Pn -T4 $ip
Dominio: MEGABANK.LOCAL
Foothold — Password Spraying
Encontramos la cuenta SABatchJobs con password spraying — la password era igual que el username.
Primeras creds: SABatchJobs:SABatchJobs
Enumeración SMB con Creds
Usamos SABatchJobs para enumerar shares SMB. Encontramos un archivo azure.xml con credenciales de Azure AD:
<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
<Obj RefId="0">
<TN RefId="0">
<T>Microsoft.Azure.Commands.ActiveDirectory.PSADPasswordCredential</T>
</TN>
<Props>
<S N="Password">4n0therD4y@n0th3r$</S>
</Props>
</Obj>
</Objs>
Segundas creds: mhope:4n0therD4y@n0th3r$
evil-winrm -i $ip -u 'mhope' -p '4n0therD4y@n0th3r$'
Escalada de Privilegios — Azure AD Connect
mhope era miembro del grupo Azure Admins. Azure AD Connect almacena credenciales para sincronizar AD on-prem con Azure AD — y esas credenciales se pueden extraer.
La base de datos de Azure AD Connect contiene la password de domain admin usada para la sincronización. Con el acceso correcto, podés desencriptarla.
Creds de Domain Admin: administrator:d0m@in4dminyeah!
Credenciales
| Username | Password | Origen |
|---|---|---|
| SABatchJobs | SABatchJobs | Password spraying |
| mhope | 4n0therD4y@n0th3r$ | azure.xml en share SMB |
| administrator | d0m@in4dminyeah! | Extracción de Azure AD Connect |
Lo Que Aprendí
Password spraying — siempre probar username=password y passwords débiles comunes contra usuarios enumerados. SABatchJobs:SABatchJobs es un error clásico de service accounts.
Azure AD Connect — cuando ves esto instalado en una box y tenés acceso al grupo Azure Admins, las credenciales de sincronización son extraíbles. Es una ruta de ataque conocida.
Archivos XML de config en shares SMB — siempre revisar cada archivo. El azure.xml con credenciales en texto plano fue el punto de pivote.
Patrón: “Azure AD Connect en un DC + membresía en grupo Azure Admins = extraer las credenciales de sincronización para Domain Admin.”