UnChleuHacker

Reflection is a chain of 3 Windows machines: MS01 , WS01 and DC01. Initial access is via an SMB connection to MS01, which provides credentials to access an MSSQL database. These are used to retrieve the database’s service account and, using an NTLM Relay attack, to access the DC’s prod share, which contains the credentials of abbie.smith, a domain account. As this account has GenericAll rights on MS01, it can read the LAPS password and retrieve the credentials of the Georgia.Price account on ...

Reflection est un chaîne composée de 3 machines Windows : MS01 , WS01 et DC01. L’accès initial se fait à partir d’un accès SMB à MS01 qui permet de trouver des identifiants pour accéder à une base de donnée MSSQL. Ces derniers permettent de récupérer le compte de service de la base de donnée et d’accéder avec une attaque NTLM Relay au partage prod du DC qui contient les identifiants du compte abbie.smith un compte du domaine. Comme ce compte possède le droit GenericAll sur MS01, cela permet d...

Initial accessWe start by running an nmap scan to identify open ports on the target machine. 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748Nmap scan report for 10.10.145.204Host is up (0.068s latency).Not shown: 994 filtered tcp ports (no-response)PORT STATE SERVICE VERSION139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds?3389/tcp open ms-wbt-server Microsoft Terminal Services|_ssl-date: 2025-06-26T14:08:53+00:00; +1s from...

Accès initialOn commence par effectuer un scan nmap afin d’identifier les ports ouverts de la machine cible. 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748Nmap scan report for 10.10.145.204Host is up (0.068s latency).Not shown: 994 filtered tcp ports (no-response)PORT STATE SERVICE VERSION139/tcp open netbios-ssn Microsoft Windows netbios-ssn445/tcp open microsoft-ds?3389/tcp open ms-wbt-server Microsoft Terminal Services|_ssl-date: 20...

K2 is a hard room made up of a network containing a Linux machine and 2 Windows with an AD. It allows you to practice basic attacks by confronting certain security equipment that you must try to bypass in order to achieve your goals. EnumerationAs usual, we start by running an nmap scan to identify the machine’s open ports. 12345678910111213141516171819└─$ nmap -A 10.10.18.124 -oA scanStarting Nmap 7.94SVN ( https://nmap.org ) at 2025-06-21 15:50 EDTNmap scan report for k2.thm (10.10.18.124)H...

K2 est une room hard composé d’un réseau contenant une machine linux et de 2 Windows avec un AD. Elle permet de s’entrainer sur des attaques de bases en étant confronté à certains équipements de sécurité que l’on doit essayer de contourner afin d’arriver à nos fins. EnumérationComme d’habitude, on commence par lancer un scan nmap afin d’identifier les ports ouverts de la machine. 12345678910111213141516171819└─$ nmap -A 10.10.18.124 -oA scanStarting Nmap 7.94SVN ( https://nmap.org ) at 2025-...

Initial enumerationWe start with an nmap scan 123456789101112131415PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)| ssh-hostkey:| 256 3f:da:55:0b:b3:a9:3b:09:5f:b1:db:53:5e:0b:ef:e2 (ECDSA)|_ 256 b7:d3:2e:a7:08:91:66:6b:30:d2:0c:f7:90:cf:9a:f4 (ED25519)80/tcp open http Apache httpd 2.4.52|_http-title: Did not follow redirect to http://cloudsite.thm/|_http-server-header: Apache/2.4.52 (Ubuntu)4369/tcp open epmd Erlang Port Mapper Daemon| ...

Enumération initialeOn commence par un scan nmap 123456789101112131415PORT STATE SERVICE VERSION22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.10 (Ubuntu Linux; protocol 2.0)| ssh-hostkey:| 256 3f:da:55:0b:b3:a9:3b:09:5f:b1:db:53:5e:0b:ef:e2 (ECDSA)|_ 256 b7:d3:2e:a7:08:91:66:6b:30:d2:0c:f7:90:cf:9a:f4 (ED25519)80/tcp open http Apache httpd 2.4.52|_http-title: Did not follow redirect to http://cloudsite.thm/|_http-server-header: Apache/2.4.52 (Ubuntu)4369/tcp open epm...

Ledger is a room where you have to compromise a domain controller. Several paths are possible to compromise the domain, one using an RCBD attack and the other a vulnerable certificate template. EnumerationAs usual, we start by running an nmap scan to identify the services exposed on the machine. We can see straight away that the machine is a domain controller, as it has all the ports typical of a DC. Recovery of valid accountsOnce I’d noticed that the machine was a DC, I tried to see if it wa...

Ledger est une room où l’on doit compromettre un contrôleur de domaine. Plusieurs chemin sont possibles pour compromettre le domaine l’un utilisant une attaque RCBD et l’autre un template de certificat vulnérable. EnumérationComme d’habitude, on commence par lancer un scan nmap afin d’identifier les services exposés sur la machine. On voit directement que la machine est un controleur de domaine car elle a tous les ports type d’un DC. Récupération de comptes validesUne fois que j’ai remarqué q...