![image](https://habrastorage.org/webt/su/h3/5y/suh35yrkudend4rbhlxw7ouwm6g.png)
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье намучаемся с нагрузками metasрloit и msfvenom, сделаем Office документ с нагрукой msvenom, рассмотрим поиск пути повышения привилегий с PowerSploit и украдем и токен для доступа к шифрованному файлу.
Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)
Организационная информация
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:
Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
- PWN;
- криптография (Crypto);
- cетевые технологии (Network);
- реверс (Reverse Engineering);
- стеганография (Stegano);
- поиск и эксплуатация WEB-уязвимостей.
Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Разведка
Сканирование портов
Данная машина имеет IP адрес 10.10.10.144, который я добавляю в /etc/hosts.
10.10.10.144 re.htb
Первым делом сканируем открытые порты. Так как сканировать все порты nmap’ом долго, то я сначала сделаю это с помощью masscan. Мы сканируем все TCP и UDP порты с интерфейса tun0 со скоростью 500 пакетов в секунду.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.144 --rate=500
![image](https://habrastorage.org/webt/vk/ly/qi/vklyqi4sot442fvaofkkc4xiflk.png)
Далее нужно собрать больше информации об известных портах. Для того используем nmap с параметром -А.
nmap -A re.htb -p80,445
![image](https://habrastorage.org/webt/a_/a7/lm/a_a7lmhsg6q3ovih1fzc6qehuaa.png)
Таким образом мы имеем SMB и веб-сервер IIS. Если посетить re.htb, то можно найти такие комментарии на странице.
![image](https://habrastorage.org/webt/p8/qm/hd/p8qmhdpkm9ydttd7vpb3tljiw9e.png)
Check back for re.htb? Я обратился к серверу по адресу 10.10.10.144 и получил редирект на reblog.htb. Что же добавим данную запись в /etc/hosts и снова переходим к веб-серверу.
![image](https://habrastorage.org/webt/-1/bu/hq/-1buhq5zoshzhfo6mrrlxjglx7m.png)
По первому посту становится ясно, что это платформа анализа OpenOffice документов, и если загруженный документ пройдет все правила, то будет выполнен.
![image](https://habrastorage.org/webt/-j/ff/lz/-jfflzmyqzell0abulnwigao_kk.png)
Теперь нужно найти способ загрузки файла. Давайте взглянем на SMB.
smbclient -L 10.10.10.144
![image](https://habrastorage.org/webt/az/kv/wn/azkvwnd7qnwsprllzvljrt_zxni.png)
Entry Point
Отлично, по названию понятно, куда загружать. Теперь нужно сгенерировать odt документ, содержащий нагрузку. Для этого можно использовать модуль openoffice_document_macro из metasploit framework.
![image](https://habrastorage.org/webt/de/fq/2n/defq2nb1bzecjxytzebaqzfldre.png)
Но так как нас предупредили, что msf нагрузка данного модуля будет обнаружена, мы создадим шаблон, а потом вставим другую нагрузку.
![image](https://habrastorage.org/webt/lj/uu/tv/ljuutvwdadu-wd8bnbpss3xnkl8.png)
Шаблон сгенерирован. Давайте проверим предположение. Если загрузить данный файл, он будет тут же удален. Откроем его в архиве и изменим следующий файл: Basic/Standard/Module1.xml. И изменим расширение на ODS.
![image](https://habrastorage.org/webt/gf/wc/sh/gfwcshyxb-n6sof4khwirvo2tbg.png)
В данном случае мы просто пингуем свою машину. Теперь откроем запустим tcpdump, указав интерфейс и протокол для фильтра.
tcpdump -i tun0 icmp
Загружаем файл на сервер.
![image](https://habrastorage.org/webt/bg/-h/-c/bg-h-cejzbr2rctlcftxfgfbr-i.png)
И наблюдаем пинг в tcpdump’e.
![image](https://habrastorage.org/webt/q0/zj/4y/q0zj4y2gtknd46vrocjwn2auf-g.png)
USER
Теперь с помощью msfvenom генерируем нагрузку meterpreter в формате exe.
![image](https://habrastorage.org/webt/hi/wq/0y/hiwq0yv1fikwpwby_4bhbdmeeza.png)
Ее мы разместим на локальном сервере. Для того, чтобы прописать нагрузку в нашем документе, откроем его в архиве и изменим следующий файл: Basic/Standard/Module1.xml.
В данном случае мы скачиваем сгенерированную нагрузку со своей машины и запускаем скачанный файл.
![image](https://habrastorage.org/webt/9v/ju/lk/9vjulkkjpdykru_hsu5p7dyx8wa.png)
После сохранения, изменим формат на ODS и загружаем файл на сервер.
![image](https://habrastorage.org/webt/l6/fd/nk/l6fdnkxsinmkcl9ebjtmx8x3s7e.png)
И через несколько секунд, видим открытую сессию meterpreter.
![image](https://habrastorage.org/webt/f-/lw/uk/f-lwuk-sxicphapfholfj3byzek.png)
И забираем пользователя.
![image](https://habrastorage.org/webt/qn/7b/om/qn7bomriozjgjrhe3j1d7qiitsa.png)
![image](https://habrastorage.org/webt/wp/n_/m2/wpn_m2fwgexxjxz3_2dropmlbru.png)
ROOT
После того как мы немного осмотрелись на машине, в папке Documents имеется интересный PS скрипт.
![image](https://habrastorage.org/webt/cf/gn/ue/cfgnue_0xseijydxsdxal7q-8gm.png)
И следующий фрагмент кода наталкивает на ZipSlip атаку, когда мы можем распаковать файл в нужное место. Давайте проверим это. Для формирования архива используем Evil-WinRAR-Generator.
![image](https://habrastorage.org/webt/l5/b2/79/l5b279ih8k3sx1sohfxcbmqia5y.png)
Загружать будем в папку ods.
![image](https://habrastorage.org/webt/l5/b2/79/l5b279ih8k3sx1sohfxcbmqia5y.png)
Используем Evil WinRAR и указываем путь до папки (-p), хороший файл (-g) и файл, который нужно распаковать по нужному пути (-e).
![image](https://habrastorage.org/webt/cz/sd/eu/czsdeu38ev7fsca-yeqmcxg8ihy.png)
Теперь с помощью PowerShell скачиваем файл на целевую машину в папку ods.
![image](https://habrastorage.org/webt/ak/aq/sb/akaqsbcru36mhedhmoyro8em8co.png)
Теперь проверяем.
![image](https://habrastorage.org/webt/sf/my/xp/sfmyxpulbtfwduq6vsfekx1s4wi.png)
Отлично! Предположения верны. Давайте сгенерируем aspx нагрузку.
![image](https://habrastorage.org/webt/wq/up/c9/wqupc9qdlogglnvmqayjnduq9bw.png)
И по прошлому сценарию откроем сессию.
![image](https://habrastorage.org/webt/my/u8/s-/myu8s-fs6hnxhpkbs4l1l561dbg.png)
![image](https://habrastorage.org/webt/xx/xf/7o/xxxf7oou7esqf6z2lirkco48w58.png)
![image](https://habrastorage.org/webt/p9/ov/hg/p9ovhgjqwtjf9mnhfwvyvghqgek.png)
![image](https://habrastorage.org/webt/qn/di/9l/qndi9l0zay0nfqvwg4jl8k5w6ac.png)
![image](https://habrastorage.org/webt/y6/lh/dw/y6lhdwlky6y9h-wdwzewp9dta-4.png)
Таким образом мы уже работаем под пользователем IIS. Далее используем мой любимый PowerSploit, а именно его модуль PowerUp.
![image](https://habrastorage.org/webt/fd/wy/aw/fdwyawbvftqc6pnvrcgbvt4pn30.png)
![image](https://habrastorage.org/webt/hz/wj/ad/hzwjaduv9aumow2w8tm89rtodj0.png)
Cлужба обновления Orchestrator — это служба, которая организует для вас обновления Windows. Этот сервис отвечает за загрузку, установку и проверку обновлений для компьютера. И через него мы можем выполнить команды. Сгенерируем еще одну нагруку в формате exe и закинем на хост.
![image](https://habrastorage.org/webt/qr/59/xe/qr59xehka3erdlzi_ssu6jf__l8.png)
![image](https://habrastorage.org/webt/ai/p7/lp/aip7lptx9jogmb8au5xevqmc3li.png)
И теперь запустим с помощью UsoSvc.
![image](https://habrastorage.org/webt/jt/67/4p/jt674pc9sb3hisolfg0ox9312nw.png)
И получаем сессиию.
![image](https://habrastorage.org/webt/5z/ml/tn/5zmltndxi5ugx4od4vxzmacmdgo.png)
Но она очень быстро закрывается, поэтому генерируем еще одну нагрузку, загружаем на машину. Снова запускаем r2.exe от UsoSvc. И в отведенные 20-30 секунд вызываем шелл и запускаем новую сгенерированную нагрузку.
![image](https://habrastorage.org/webt/t9/0d/vu/t90dvukigbl7kcto1gg0ekljbns.png)
Таким образом, закроется сессия от r2.exe, но будет работать r3.exe в том же контексте SYSTEM.
![image](https://habrastorage.org/webt/sw/1q/du/sw1qdu-iid02dibxxwpuzxyy6tm.png)
Но при попытке прочитать файл, получаем отказ в доступе.
![image](https://habrastorage.org/webt/3p/l6/ba/3pl6basx_232vqtpr8nkwwahkzs.png)
Скорее всего он зашифрован. Давайте убедимся в этом.
![image](https://habrastorage.org/webt/cd/43/sj/cd43sji_qs7wnkuuet2ummebve0.png)
И видим, что можем открыть его из-под coby. Тогда давайте украдем его токен — маркер доступа. Для чего в meterpreter подключаем модуль.
![image](https://habrastorage.org/webt/mf/rr/q5/mfrrq5g7zmajo8iq8tsubfuvcqo.png)
Посмотрим список токенов в системе.
![image](https://habrastorage.org/webt/7h/uf/bh/7hufbh27gng_dzbzrh5jla_d0s0.png)
И берем токен coby.
![image](https://habrastorage.org/webt/o0/4b/bz/o04bbzmrxfqx6wq771dtlhzr7hq.png)
Теперь когда мы в его контексте безопасности читаем файл.
![image](https://habrastorage.org/webt/9s/gv/u5/9sgvu5eby80eydccfgwuadnsc3s.png)
Машина пройдена.
Вы можете присоединиться к нам в Telegram. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.