Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/f562b503-161e-416f-b77f-9007fabe0216 я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Обзор сервисов
Просканируем порты и найдем открытые сервисы:
Open 10.129.108.180:3269
Open 10.129.108.180:3268
Open 10.129.108.180:636
Open 10.129.108.180:593
Open 10.129.108.180:464
Open 10.129.108.180:445
Open 10.129.108.180:443
Open 10.129.108.180:389
Open 10.129.108.180:139
Open 10.129.108.180:88
Open 10.129.108.180:80
Open 10.129.108.180:53
Веб
На веб-сервисе находим Joomla.
Используем CVE-2023-23752 для получения информации о базе данных.
Users
[474] Tony Stark (Administrator) - [email protected] - Super Users
Site info
Site name: Holography Industries
Editor: tinymce
Captcha: 0
Access: 1
Debug status: false
Database info
DB type: mysqli
DB host: localhost
DB user: root
DB password: pwd
DB name: joomla_db
DB prefix: if2tx_
DB encryption 0
С помощью kerbrute
ищем валидных пользователей на домен контроллере и относительно них проверяем пароль, который нашли выше.
Получаем учетку, с помощью которой можем залогиниться в самбу.
$ smbclient -U user --password='pwd' -L //office.htb/
Sharename Type Comment
--------- ---- -------
ADMIN$ Disk Remote Admin
C$ Disk Default share
IPC$ IPC Remote IPC
NETLOGON Disk Logon server share
SOC Analysis Disk
SYSVOL Disk Logon server share
Reconnecting with SMB1 for workgroup listing.
do_connect: Connection to office.htb failed (Error NT_STATUS_RESOURCE_NAME_NOT_FOUND)
Unable to connect with SMB1 -- no workgroup available
Из каталога SOC Analysis
качаем PCAP-дамп и открываем его в Wireshark.
Достаем и брутим Kerberos Preauth Cipher.
Получим пароль, с помощью которого сможем залогиниться в административную панель Joomla http://office.htb/administrator/
.
С помощью шаблонов для джумлы сделаем себе веб-шелл.
И превратим его в Meterpreter.
Вспоминаем, что у нас есть пароль Тони Старка и с помощью runascs.exe
получаем шелл от него.
Флаг пользователя
Неправильный способ для повышения привилегий
MySQL позволяет загрузить плагины, и мы можем писать в эту папку. Сгенерируем свой Meterpreter и загрузим в нужный каталог.
Далее пробросим порт на локальную машину с MySQL и, используя логин и пароль из первоначальной уязвимости Joomla, зайдем в консоль MySQL.
Далее с помощью создания функции и подгрузки плагина получаем шелл.
Добираем привилегии и получаем системный шелл через SeImpersonatePrivilege
.
Флаг суперпользователя
Верный способ для поднятия привилегий
В локалке крутится internal
сервис. Пробросим порт и посмотрим на него.
Можно загружать документы в формате ODT. Воспользуемся CVE-2023-2255 и получим шелл от имени пользователя ppotts
.
Теперь последовательно по инструкции с помощью Mimikatz вытащим креды из DPAPI.
Идентификаторы кредов такие:
(Meterpreter 1)(C:\Program Files\LibreOffice 5\program) > dir %appdata%/Microsoft/Credentials
Listing: C:\Users\PPotts\AppData\Roaming/Microsoft/Credentials
==============================================================
Mode Size Type Last modified Name
---- ---- ---- ------------- ----
100666/rw-rw-rw- 358 fil 2023-05-10 00:08:54 +0300 18A1927A997A794B65E9849883AC3F3E
100666/rw-rw-rw- 398 fil 2023-05-10 02:03:21 +0300 84F1CAEEBF466550F4967858F9353FB4
100666/rw-rw-rw- 374 fil 2024-01-18 22:53:30 +0300 E76CCA3670CD9BB98DF79E0A8D176F1E
А идентификаторы мастер ключей такие:
(Meterpreter 2)(C:\users\public) > dir %appdata%\\microsoft\\protect\\S-1-5-21-1199398058-4196589450-691661856-1107
Listing: C:\Users\PPotts\AppData\Roaming\microsoft\protect\S-1-5-21-1199398058-4196589450-691661856-1107
========================================================================================================
Mode Size Type Last modified Name
---- ---- ---- ------------- ----
100666/rw-rw-rw- 740 fil 2024-01-18 02:43:56 +0300 10811601-0fa9-43c2-97e5-9bef8471fc7d
100666/rw-rw-rw- 740 fil 2023-05-03 02:13:34 +0300 191d3f9d-7959-4b4d-a520-a444853c47eb
100666/rw-rw-rw- 900 fil 2023-05-03 02:13:34 +0300 BK-OFFICE
100666/rw-rw-rw- 24 fil 2024-01-18 02:43:56 +0300 Preferred
После получения кредов OFFICE\HHogan
просто подключимся к нему с помощью evil-winrm
:
evil-winrm -i dc.office.htb -u hhogan -p "pwd"
Этот пользователь состоит в группе GPO Managers
:
> whoami /all
...
OFFICE\GPO Managers Group S-1-5-21-1199398058-4196589450-691661856-1117 Mandatory group, Enabled by default, Enabled group
...
А это значит, что мы можем использовать SharpGPOAbuse
для добавления этого пользователя в список локальных администраторов.
После этого достаточно немного подождать и повысить привилегии с помощью PsExec
.