Este guia detalha a resolução do laboratório 'Mini Pro Lab Puppet' no HackTheBox, focado em simular um cenário de teste de intrusão em uma empresa fictícia, a Puppet Inc. O objetivo é demonstrar a operação dentro de uma infraestrutura de Comando e Controle (C2) moderna e complexa, utilizando o framework Sliver C2 para comprometer um ambiente Active Directory (AD) de pequena escala. O laboratório é projetado para profissionais de Red Team e Pentest que buscam aprimorar suas habilidades em cenários realistas.
A jornada começa com a identificação de portas abertas no sistema alvo, utilizando ferramentas como masscan e nmap. Após a varredura inicial, descobrimos portas como FTP (21), SSH (22), e outras menos comuns (8140, 8443, 31337). A exploração do serviço FTP revela arquivos de configuração do Sliver C2 e um cliente para Linux. A partir daí, estabelecemos uma conexão com o servidor C2 através de port forwarding com socat. Uma vez conectado, importamos a configuração e iniciamos o cliente Sliver, onde identificamos um beacon ativo (fe2a6189). A transição para uma sessão interativa (interactive) nos concede acesso ao sistema, permitindo a coleta do primeiro flag na área de trabalho do usuário bruce.smith.
O próximo passo envolve a enumeração local do ambiente. A presença do Puppet, uma ferramenta de gerenciamento de configuração, sugere a existência de um servidor Puppet Master controlando a rede. Utilizando o módulo sa-whoami do Sliver, confirmamos que estamos operando como um usuário de domínio do grupo employees, sem privilégios elevados. Em seguida, empregamos o sharp-hound-4 para coletar dados do Active Directory, que são salvos em um arquivo ZIP e analisados localmente com o BloodHound. A enumeração de ADCS (sa-adcs-enum) não revela instâncias de Certificate Services. A busca por vulnerabilidades locais de elevação de privilégios nos leva a descobrir uma falha no serviço de impressão, a vulnerabilidade PrintNightmare. A exploração bem-sucedida desta vulnerabilidade, utilizando um PoC de John Hammond, nos concede privilégios de administrador local. Posteriormente, contornamos o UAC com um exploit de bypass (SspiUacBypass) para obter uma sessão SYSTEM, permitindo o acesso ao desktop do Administrador e a coleta de credenciais, incluindo um hash de usuário svc_puppet_win_t1.
Com a conta svc_puppet_win_t1, ganhamos acesso a compartilhamentos de rede no Domain Controller (DC01) e no servidor de arquivos (file01). A análise dos compartilhamentos revela chaves SSH para a conta svc_puppet_lin_t1. Após converter a chave privada SSH para um formato compatível com ssh2john e usar john com o wordlist rockyou.txt para quebrar a senha, obtemos acesso ao Puppet Master. A partir do Puppet Master, exploramos a funcionalidade do Puppet para executar comandos em outros nós, especificamente no DC01, utilizando um manifest site.pp para executar um payload. Isso resulta em um novo beacon no DC01, concedendo privilégios administrativos. O flag final é obtido através do dump de credenciais com SharpDPAPI.exe, revelando uma senha de usuário.
Este laboratório abrange uma gama de técnicas essenciais para testes de intrusão, incluindo enumeração de AD, exploração de vulnerabilidades como PrintNightmare, elevação de privilégios, movimento lateral e operações C2 com ferramentas como Sliver. A compreensão dessas etapas é crucial para profissionais de segurança que buscam defender e testar redes corporativas.
