Informações da Box
| Plataforma | HackTheBox |
| Dificuldade | Medium |
| SO | Windows |
| Técnicas Principais | Password Spraying, Azure AD Connect Credential Extraction |
Resumo do Caminho de Ataque
Enumerou usuários do domínio -> password spraying encontrou conta SABatchJobs -> usou essas creds pra acessar shares SMB -> encontrou azure.xml com a senha do mhope -> logou como mhope via evil-winrm -> mhope é membro do grupo Azure Admins -> extraiu credenciais do Azure AD Connect -> Domain Admin.
Enumeração
sudo nmap -p- -Pn -T4 $ip -oN nmap/tcp_scan
sudo nmap -sCV -p <PORTS> -Pn -T4 $ip
Domínio: MEGABANK.LOCAL
Foothold — Password Spraying
Encontrou a conta SABatchJobs por password spraying — a senha era igual ao username.
Primeiras creds: SABatchJobs:SABatchJobs
Enumeração SMB com Creds
Usou SABatchJobs pra enumerar shares SMB. Encontrou um arquivo azure.xml com credenciais do Azure AD:
<Objs Version="1.1.0.1" xmlns="http://schemas.microsoft.com/powershell/2004/04">
<Obj RefId="0">
<TN RefId="0">
<T>Microsoft.Azure.Commands.ActiveDirectory.PSADPasswordCredential</T>
</TN>
<Props>
<S N="Password">4n0therD4y@n0th3r$</S>
</Props>
</Obj>
</Objs>
Segundas creds: mhope:4n0therD4y@n0th3r$
evil-winrm -i $ip -u 'mhope' -p '4n0therD4y@n0th3r$'
Escalação de Privilégios — Azure AD Connect
mhope era membro do grupo Azure Admins. Azure AD Connect armazena credenciais pra sincronizar o AD on-prem com o Azure AD — e essas credenciais podem ser extraídas.
O banco de dados do Azure AD Connect contém a senha do domain admin usada pra sincronização. Com o acesso certo, dá pra descriptografar.
Creds de Domain Admin: administrator:d0m@in4dminyeah!
Credenciais
| Usuário | Senha | Origem |
|---|---|---|
| SABatchJobs | SABatchJobs | Password spraying |
| mhope | 4n0therD4y@n0th3r$ | azure.xml na share SMB |
| administrator | d0m@in4dminyeah! | Extração do Azure AD Connect |
O que Aprendi
Password spraying — sempre tente username=password e senhas fracas comuns contra usuários enumerados. SABatchJobs:SABatchJobs é um erro clássico de service account.
Azure AD Connect — quando vê isso instalado numa box e tem acesso ao grupo Azure Admins, as credenciais de sincronização são extraíveis. É um caminho de ataque conhecido.
Arquivos XML de config em shares SMB — sempre cheque todos os arquivos. O azure.xml com credenciais em texto claro foi o ponto de pivot.
Padrão: “Azure AD Connect num DC + membresia no grupo Azure Admins = extrair as credenciais de sync pra Domain Admin.”