HackTheBox: Guia Completo para a Lab 'Unintended' - Do Acesso Inicial ao Domínio Completo
Explore um guia detalhado para a lab 'Unintended' da HackTheBox, focada em Active Directory e ambientes Linux. Aprenda técnicas de enumeração, movimentação lateral, escalonamento de privilégios e análise forense para obter controle total do domínio.
MundiX News·30 de maio de 2026·8 min de leitura·👁 17 views
A empresa Unintended migrou recentemente sua infraestrutura para o Active Directory, o que gerou preocupações sobre vulnerabilidades decorrentes de métodos legados e erros de configuração. Sua firma foi encarregada de realizar um teste de penetração para determinar se um atacante pode transitar do acesso inicial para o controle completo do domínio. A lab 'Unintended' oferece experiência prática na resolução de erros comuns de implantação do Active Directory, demonstrando como os atacantes podem se mover entre serviços para escalar privilégios. Esta máquina combina técnicas de escalonamento de privilégios em Linux com caminhos de ataque ao Active Directory, tornando-a um campo de treinamento valioso tanto para profissionais de segurança ofensiva quanto defensiva. A lab é projetada para aqueles que buscam expandir seu conhecimento sobre exploração do Active Directory em um ambiente centrado em Linux, sendo particularmente adequada para quem deseja compreender erros de configuração do mundo real em infraestruturas híbridas.
Nesta lab, operadores de Red Team de nível I enfrentarão os seguintes tópicos: enumeração de backups do Active Directory, movimentação lateral, pivotamento, escalonamento de privilégios em Linux, análise forense de backups e ataques a aplicações web. Ao iniciar, recebemos três endereços IP: 10.13.38.57, 10.13.38.58 e 10.13.38.59. Uma verificação rápida com ping confirma sua acessibilidade. Em seguida, realizamos um escaneamento de portas com masscan para identificar portas abertas em todos os IPs, seguido por um escaneamento mais detalhado com nmap para os serviços mais prováveis, como SSH, SMB, LDAP e HTTP. O escaneamento revela que o domínio é unintended.vl e o nome da máquina do controlador de domínio é dc. Adicionamos essas informações ao nosso arquivo /etc/hosts para facilitar a resolução de nomes.
Ao acessar o serviço web em 10.13.38.59, encontramos uma página de placeholder. Procedemos com a verificação de autenticação anônima no controlador de domínio usando netexec e rpcclient, o que nos fornece uma lista de nomes de usuários válidos. O nmap também indicou que a ligação LDAP anônima está habilitada, um vetor de enumeração valioso. Utilizamos ldapsearch para coletar informações detalhadas sobre o domínio, incluindo o tipo de AD (Samba AD), nível funcional, métodos de autenticação e replicação. Exploramos os compartilhamentos SMB e descobrimos um recurso home, embora inicialmente inacessível. Tentativas de ASREProast não retornam usuários com os flags necessários. Em seguida, realizamos fuzzing de subdomínios usando ffuf e dnsenum, descobrindo novos subdomínios que adicionamos ao nosso arquivo hosts. Acessar code.unintended.vl nos leva ao Gitea, onde encontramos repositórios públicos e informações sobre commits, incluindo credenciais potenciais. Tentamos conectar via SSH com essas credenciais, mas somos informados que apenas conexões SFTP são permitidas. Configurando um túnel SOCKS via SSH com ssh -D, e ajustando o proxychains4.conf, conseguimos escanear portas internas. A porta 3306 (MySQL) está aberta. Conectamos ao servidor MySQL e extraímos dados da base de dados gitea, incluindo hashes de senha. Utilizamos hashcat para quebrar o hash de um administrador, obtendo acesso à interface de administração do Gitea. A partir daí, encontramos um novo repositório com um histórico de commits que revela um histórico .bash_history com credenciais de usuário. Com as credenciais de juan, acessamos o domínio via SSH e coletamos o primeiro flag. Exploramos o Mattermost, descobrindo informações sobre um banco de dados PostgreSQL rodando em Docker. Conectamos a este banco de dados e extraímos hashes de senha de usuários do Mattermost. Quebramos esses hashes usando hashcat e obtemos novas credenciais. Com as credenciais de abbie, acessamos um servidor de backup e exploramos o ambiente Docker, obtendo acesso root. Dentro do container, encontramos scripts e backups de domínio. Baixamos um backup da Samba, extraímos e utilizamos ldbtools para recuperar o hash de senha do Administrador. Com o hash do Administrador, acessamos compartilhamentos SMB restritos e recuperamos o terceiro flag. Retornamos ao servidor de backup, entramos no container Docker e encontramos backups de configuração do Duplicati. Baixamos esses backups, restauramos os dados e extraímos a passphrase do servidor Duplicati. Exploramos uma vulnerabilidade no Duplicati para criar uma tarefa de backup, recuperar arquivos e obter o último flag, completando a lab.
Os temas abordados nesta lab incluem enumeração de backups do Active Directory, movimentação lateral, pivotamento, escalonamento de privilégios em Linux, análise forense de backups e ataques a aplicações web. A máquina combina técnicas de escalonamento de privilégios em Linux com caminhos de ataque ao Active Directory, sendo um excelente recurso para praticar em ambientes híbridos e identificar erros de configuração comuns. A complexidade é classificada como 'Difícil', com um tempo estimado de leitura de 8 minutos e um alcance de 2.8K. As tags associadas são CTF, Segurança da Informação e Tutorial.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A empresa Unintended migrou recentemente sua infraestrutura para o Active Directory, o que gerou preocupações sobre vulnerabilidades decorrentes de métodos legados e erros de configuração. Sua firma foi encarregada de realizar um teste de penetração para determinar se um atacante pode transitar do acesso inicial para o controle completo do domínio. A lab 'Unintended' oferece experiência prática na resolução de erros comuns de implantação do Active Directory, demonstrando como os atacantes podem se mover entre serviços para escalar privilégios. Esta máquina combina técnicas de escalonamento de privilégios em Linux com caminhos de ataque ao Active Directory, tornando-a um campo de treinamento valioso tanto para profissionais de segurança ofensiva quanto defensiva. A lab é projetada para aqueles que buscam expandir seu conhecimento sobre exploração do Active Directory em um ambiente centrado em Linux, sendo particularmente adequada para quem deseja compreender erros de configuração do mundo real em infraestruturas híbridas.
Nesta lab, operadores de Red Team de nível I enfrentarão os seguintes tópicos: enumeração de backups do Active Directory, movimentação lateral, pivotamento, escalonamento de privilégios em Linux, análise forense de backups e ataques a aplicações web. Ao iniciar, recebemos três endereços IP: 10.13.38.57, 10.13.38.58 e 10.13.38.59. Uma verificação rápida com ping confirma sua acessibilidade. Em seguida, realizamos um escaneamento de portas com masscan para identificar portas abertas em todos os IPs, seguido por um escaneamento mais detalhado com nmap para os serviços mais prováveis, como SSH, SMB, LDAP e HTTP. O escaneamento revela que o domínio é unintended.vl e o nome da máquina do controlador de domínio é dc. Adicionamos essas informações ao nosso arquivo /etc/hosts para facilitar a resolução de nomes.
Ao acessar o serviço web em 10.13.38.59, encontramos uma página de placeholder. Procedemos com a verificação de autenticação anônima no controlador de domínio usando netexec e rpcclient, o que nos fornece uma lista de nomes de usuários válidos. O nmap também indicou que a ligação LDAP anônima está habilitada, um vetor de enumeração valioso. Utilizamos ldapsearch para coletar informações detalhadas sobre o domínio, incluindo o tipo de AD (Samba AD), nível funcional, métodos de autenticação e replicação. Exploramos os compartilhamentos SMB e descobrimos um recurso home, embora inicialmente inacessível. Tentativas de ASREProast não retornam usuários com os flags necessários. Em seguida, realizamos fuzzing de subdomínios usando ffuf e dnsenum, descobrindo novos subdomínios que adicionamos ao nosso arquivo hosts. Acessar code.unintended.vl nos leva ao Gitea, onde encontramos repositórios públicos e informações sobre commits, incluindo credenciais potenciais. Tentamos conectar via SSH com essas credenciais, mas somos informados que apenas conexões SFTP são permitidas. Configurando um túnel SOCKS via SSH com ssh -D, e ajustando o proxychains4.conf, conseguimos escanear portas internas. A porta 3306 (MySQL) está aberta. Conectamos ao servidor MySQL e extraímos dados da base de dados gitea, incluindo hashes de senha. Utilizamos hashcat para quebrar o hash de um administrador, obtendo acesso à interface de administração do Gitea. A partir daí, encontramos um novo repositório com um histórico de commits que revela um histórico .bash_history com credenciais de usuário. Com as credenciais de juan, acessamos o domínio via SSH e coletamos o primeiro flag. Exploramos o Mattermost, descobrindo informações sobre um banco de dados PostgreSQL rodando em Docker. Conectamos a este banco de dados e extraímos hashes de senha de usuários do Mattermost. Quebramos esses hashes usando hashcat e obtemos novas credenciais. Com as credenciais de abbie, acessamos um servidor de backup e exploramos o ambiente Docker, obtendo acesso root. Dentro do container, encontramos scripts e backups de domínio. Baixamos um backup da Samba, extraímos e utilizamos ldbtools para recuperar o hash de senha do Administrador. Com o hash do Administrador, acessamos compartilhamentos SMB restritos e recuperamos o terceiro flag. Retornamos ao servidor de backup, entramos no container Docker e encontramos backups de configuração do Duplicati. Baixamos esses backups, restauramos os dados e extraímos a passphrase do servidor Duplicati. Exploramos uma vulnerabilidade no Duplicati para criar uma tarefa de backup, recuperar arquivos e obter o último flag, completando a lab.
Os temas abordados nesta lab incluem enumeração de backups do Active Directory, movimentação lateral, pivotamento, escalonamento de privilégios em Linux, análise forense de backups e ataques a aplicações web. A máquina combina técnicas de escalonamento de privilégios em Linux com caminhos de ataque ao Active Directory, sendo um excelente recurso para praticar em ambientes híbridos e identificar erros de configuração comuns. A complexidade é classificada como 'Difícil', com um tempo estimado de leitura de 8 minutos e um alcance de 2.8K. As tags associadas são CTF, Segurança da Informação e Tutorial.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
