HTB Ghost. Пробираемся через лес Active Directory

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• LDAP Injection
• Точка опоры
• LFI
• Command Injection
• Пользователь домена
• Дочерний домен
• DNS Spoofing
• ADFS
• Microsoft SQL Server
• Локальное повышение привилегий
• Корневой домен

В этот раз мы прой­дем путь от LDAP Injection и LFI до Command Injection в веб‑при­ложе­нии. Зах­ватив Linux-машину в домене, получим поль­зователь­ский тикет Kerberos и про­ведем DNS Spoofing. Пос­ле получе­ния еще одной домен­ной учет­ки ском­про­мети­руем учет­ную запись служ­бы ADFS и с помощью тех­ники Golden SAML сде­лаем токен для дос­тупа к сай­ту от име­ни адми­на.

Че­рез свя­зан­ные сер­веры Microsoft SQL получим сес­сию от име­ни служ­бы, а затем под­нимем при­виле­гии на кон­трол­лере дочер­него домена. Через Inter-realm golden ticket ском­про­мети­руем кон­трол­лер домена все­го леса.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине Ghost с учеб­ной пло­щад­ки Hack The Box. Уро­вень слож­ности задания — «безум­ный».

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.24 ghost.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

Ска­нер нашел 19 откры­тых пор­тов:

• 53 — DNS;
• 80 (HTTP) — веб‑сер­вер Microsoft;
• 88 — Kerberos;
• 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC). Исполь­зует­ся для опе­раций вза­имо­дей­ствия кон­трол­лер — кон­трол­лер и кон­трол­лер — кли­ент;
• 139 — служ­ба сеан­сов NetBIOS, NetLogon;
• 389 — LDAP;
• 443 (HTTPS) — веб‑сер­вер Microsoft IIS/10.0;
• 445 — SMB;
• 464 — служ­ба сме­ны пароля Kerberos;
• 593 (HTTP-RPC-EPMAP) — исполь­зует­ся в служ­бах DCOM и MS Exchange;
• 636 — LDAP с шиф­ровани­ем SSL или TLS;
• 1433 — СУБД Microsoft SQL;
• 3268 (LDAP) — для дос­тупа к Global Catalog от кли­ента к кон­трол­леру;
• 3269 (LDAPS) — для дос­тупа к Global Catalog от кли­ента к кон­трол­леру через защищен­ное соеди­нение;
• 3389 — служ­ба уда­лен­ного рабоче­го сто­ла;
• 5985 — служ­ба уда­лен­ного управле­ния WinRM;
• пор­ты 8008 и 8443 — веб‑сер­вер Nginx 1.18.0;
• 9389 — веб‑служ­бы AD DS.

Сер­тификат веб‑сер­виса на пор­те 8443 рас­кры­вает новый под­домен, который добавим в файл /etc/hosts.

10.10.11.24 ghost.htb core.ghost.htb

Глав­ная стра­ница сай­та core.ghost.htb

Ес­ли перей­ти к логину через ADFS, получим редирект на новый под­домен.

Ре­директ на новый адрес

До­бав­ляем новый под­домен в /etc/hosts.

10.10.11.24 ghost.htb core.ghost.htb federation.ghost.htb

Глав­ная стра­ница federation.ghost.htb

На пор­те 8008 нас встре­тит какой‑то блог.

Глав­ная стра­ница ghost.htb:8008 

Точка входа

Так как уже было най­дено нес­коль­ко под­доменов, методом перебо­ра поп­робу­ем най­ти еще. Для ска­ниро­вания под­доменов мож­но исполь­зовать ffuf.

Справка: сканирование веба c ffuf

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:

• -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
• -t — количес­тво потоков;
• -u — URL;
• -H — HTTP-заголо­вок;
• -fs — филь­тро­вать стра­ницы по раз­меру.

Мес­то перебо­ра помеча­ется сло­вом FUZZ.

За­даем все парамет­ры и запус­каем:

ffuf -u http://ghost.htb:8008 -H 'Host: FUZZ.ghost.htb:8008' -w dns-lists.txt -t 128 -fs 7676

Ре­зуль­тат ска­ниро­вания под­доменов

На­ходим еще два домена, которые добав­ляем в /etc/hosts.

10.10.11.24 ghost.htb core.ghost.htb federation.ghost.htb gitea.ghost.htb intranet.ghost.htb

На пер­вом нас встре­чает Gitea, а на вто­ром — стра­ница авто­риза­ции.

Поль­зовате­ли Gitea

Стра­ница авто­риза­ции Intranet Login

Ес­ли прос­мотреть зап­рос на логин через Burp History, наз­вания парамет­ров дадут понять, что исполь­зует­ся LDAP-аутен­тифика­ция.

Зап­рос к стра­нице /login 

LDAP Injection

Пер­вым делом про­верим инъ­екцию LDAP, для чего вмес­то логина и пароля переда­дим сим­вол *, который будет вос­при­нят как «любое количес­тво любых сим­волов». При срав­нении с пер­выми же учет­ными дан­ными из базы на сто­роне сер­вера аутен­тифика­ция будет прой­дена.

Зап­рос на сер­вер в Burp Repeater

Пов­торим вход через бра­узер и прос­мотрим, что есть инте­рес­ного на сай­те.

Глав­ная стра­ница сай­та

На стра­нице Users получа­ем спи­сок всех поль­зовате­лей.

Стра­ница Users

На стра­нице Forum находим инте­рес­ную информа­цию. У поль­зовате­ля недос­тупен сер­вис bitbucket.ghost.htb, так как для него отсутс­тву­ет запись DNS. Вер­немся к это­му, как толь­ко получим воз­можность соз­давать записи на DNS-сер­вере.

Стра­ница Forum

Так как на сай­те есть LDAP-инъ­екция, мы можем попытать­ся посим­воль­но подоб­рать пароли поль­зовате­лей. Для пер­вого сим­вола будем под­бирать вари­анты a*, b*, c* и так далее. Успешный логон озна­чает вер­но подоб­ранный пароль. Авто­мати­зиро­вать под­бор мож­но сле­дующим скрип­том, а под­бирать будем пароль для учет­ной записи gitea_temp_principal.

import stringimport requestsurl = 'http://intranet.ghost.htb:8008/login'headers = {'Next-Action': 'c471eb076ccac91d6f828b671795550fd5925940'}username = "gitea_temp_principal"password = ""while True: for char in string.ascii_lowercase + string.digits: files = { '1_ldap-username': (None, username), '1_ldap-secret': (None, f'{password}{char}*'), '0': (None, '[{},"$K1"]') } res = requests.post(url, headers=headers, files=files) if res.status_code == 303: password += char print(password) break else: breakprint()print(f"Creds => {username}:{password}")

Под­бор пароля поль­зовате­ля

Па­роль успешно подоб­ран, с получен­ными учет­ными дан­ными залоги­ним­ся в Gitea.

Глав­ная стра­ница Gitea 

Точка опоры

 

LFI

Прос­мотрим про­екты, начиная с репози­тория blog. В README написа­но про фун­кцию ска­ниро­вания, которая находит­ся в ста­дии раз­работ­ки, поэто­му дос­тупна толь­ко с клю­чом DEV_INTRANET_KEY, который хра­нит­ся в перемен­ной сре­ды. Для дос­тупа к API бло­га нуж­но исполь­зовать токен a5af628828958c976a3b6cc81a.

README про­екта blog

Прос­мотрим исходный код posts-public.js. Там инте­ресен эндпо­инт posts, который в катало­ге /var/lib/ghost/extra/ чита­ет файл, передан­ный в парамет­ре extra. При этом никакой филь­тра­ции наз­вания фай­ла нет, так что тут прос­матри­вает­ся потен­циаль­ная уяз­вимость LFI.

Со­дер­жимое фай­ла posts-public.js

Ин­форма­цию об API уда­лось най­ти в офи­циаль­ной справ­ке CMS Ghost.

Справ­ка Developer docs

Про­верим, обра­баты­вает­ся ли URL http://ghost.htb:8008/ghost/api/content/ на сер­вере.

Тес­тирова­ние API

Те­перь перебе­рем эндпо­инты с помощью ска­нера feroxbuster.

При запус­ке ука­жем сле­дующие парамет­ры:

• -u — URL;
• -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
• -d — глу­бина ска­ниро­вания;
• -t — количес­тво потоков.

feroxbuster -u http://ghost.htb:8008/ghost/api/content/ -w directory_2.3_medium_lowercase.txt -d 1 -t 128

Ре­зуль­тат перебо­ра API

В спис­ке есть нуж­ный нам posts. В зап­росе к это­му API переда­ем токен, а так­же путь к фай­лу /etc/passwd с обхо­дом катало­гов.

http://ghost.htb:8008/ghost/api/content/posts/?key=a5af628828958c976a3b6cc81a&extra=../../../../../../../../etc/passwd

От­вет сер­вера

В отве­те сер­вера получа­ем содер­жимое зап­рошен­ного фай­ла, а зна­чит, уяз­вимость LFI при­сутс­тву­ет. Получим перемен­ные окру­жения, сре­ди которых дол­жен быть и DEV_INTRANET_KEY.

http://ghost.htb:8008/ghost/api/content/posts/?key=a5af628828958c976a3b6cc81a&extra=../../../../../../../../proc/self/environ

Пе­ремен­ные окру­жения

Пе­рей­дем ко вто­рому сер­вису.

 

Command Injection

В исходном коде сер­виса сра­зу най­дем все мес­та, где исполь­зует­ся ключ дос­тупа. Ключ нуж­но переда­вать в соот­ветс­тву­ющем заголов­ке.

Ис­ходный код при­ложе­ния

Источник: xakep.ru