Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
HTB Mist. Используем технику ESC13 для захвата домена Active Directory
Содержание статьи
- Разведка
- Сканирование портов
- Точка входа
- Точка опоры
- Продвижение
- Пользователь Brandon.Keywarp
- NTLM Relay
- Пользователь OP_SHARON.MULLARD
- Группа Certificate Managers
- ESC13
- Локальное повышение привилегий
Сегодня я покажу ряд атак ESC13 на службу сертификации Active Directory, в результате которых мы захватим домен Windows. На пути к этому придется решить еще несколько проблем: получить сессию на хосте через уязвимый веб‑сервис, подменить ярлык, вскрыть хеш пароля при помощи UnPAC the hash, использовать принудительную аутентификацию и атаку Shadow Credentials и применить другие техники атак на AD.
Наша цель — получение прав суперпользователя на машине Mist с учебной площадки Hack The Box. Уровень сложности задания — «безумный».
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.17 mist.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер обнаружил всего один открытый порт: 80 — веб‑сервер Apache 2.4.52. На сайте нас ожидает система Pluck 4.7.18.
Главная страница сайта
Точка входа
При попытке перейти к управлению в системе нас встретит форма аутентификации.
Форма аутентификации
Первым делом стоит проверить, есть ли для обнаруженной CMS готовые эксплоиты. Идем за ними прямиком в Google.
Поиск эксплоитов в Google
Обнаруживаем, что в этой версии Pluck есть возможность разместить веб‑шелл через загрузку модуля и тем самым получить RCE. Но проблема в том, что сперва нужно получить доступ к управлению веб‑приложением.
Так как версия приложения не самая новая, переходим к поиску других эксплоитов. В модуле albums в функции получения изображений есть уязвимость обхода каталога, что позволит нам получить содержимое любого файла.
Описание уязвимости
Но пример из PoC не сработал, запрос был заблокирован.
Сообщение о блокировке
Посмотрим, какие еще есть интересные модули и файлы. Для этого просканируем каталоги с помощью feroxbuster. При запуске используем следующие параметры:
-
-u— URL; -
-d— глубина сканирования.
feroxbuster -u http://mist.htb/ -d 2
Результат сканирования каталогов
Пройдемся по найденным каталогам и заметим, что директория /data/settings/modules/albums не индексируется и мы можем получить доступ ко всем файлам внутри нее.
Содержимое каталога albums
Теперь используем найденную ранее уязвимость LFI для чтения содержимого файла admin_backup.php.
Содержимое файла admin_backup.php
В файле есть какой‑то хеш, попробуем его подобрать.
Точка опоры
Брутить хеш будем с помощью hashcat. У него есть возможность автоматического определения типа хеша, поэтому передаем ему только хеш и словарь для перебора. Но под этот формат подходит несколько алгоритмов, о чем утилита нам и сообщит.
hashcat 'c81dd.....ce81e' rockyou.txt
Вывод hashcat
Из представленных алгоритмов наиболее популярен SHA2-512. При повторном запуске hashcat добавим номер алгоритма в параметре -m.
hashcat -m 1700 'c81dd.....ce81e' rockyou.txt
Результат подбора пароля
С этим паролем можно авторизоваться в системе Pluck и попробовать получить RCE через загрузку собственного модуля.
Главная страница Pluck
Источник: xakep.ru
