Sigo publicando soluciones enviadas para su posterior procesamiento desde el sitio de HackTheBox . Espero que esto ayude al menos a alguien a desarrollarse en el campo de la seguridad de la informaci贸n. En este art铆culo, nos atormentan las cargas de metasloit y msfvenom, hacemos un documento de Office con carga de msvenom, consideramos la b煤squeda de formas de aumentar los privilegios con PowerSploit y robamos el token para acceder al archivo cifrado.La conexi贸n al laboratorio es a trav茅s de VPN. Se recomienda no conectarse desde una computadora del trabajo o desde un host donde los datos importantes para usted est茅n disponibles, ya que termina en una red privada con personas que saben algo en el campo de la seguridad de la informaci贸n :)Informaci贸n organizacional, - , :
- PWN;
- (Crypto);
- c (Network);
- (Reverse Engineering);
- (Stegano);
- WEB-.
, , , .
, ,
Telegram . , ,
.
. , - , .
Servicio de inteligencia
Escaneo de puertos
Esta m谩quina tiene una direcci贸n IP 10.10.10.144, que agrego a / etc / hosts.10.10.10.144 re.htb
Primero, escaneamos puertos abiertos. Como lleva mucho tiempo escanear todos los puertos con nmap, primero har茅 esto con masscan. Escaneamos todos los puertos TCP y UDP desde la interfaz tun0 a una velocidad de 500 paquetes por segundo.masscan -e tun0 -p1-65535,U:1-65535 10.10.10.144 --rate=500
A continuaci贸n, debe recopilar m谩s informaci贸n sobre los puertos conocidos. Para hacer esto, use nmap con la opci贸n -A.nmap -A re.htb -p80,445
Entonces tenemos una SMB y un servidor web IIS. Si visita re.htb, puede encontrar dichos comentarios en la p谩gina.
驴Vuelve a buscar re.htb? Me dirig铆 al servidor el 10.10.10.144 y recib铆 una redirecci贸n a reblog.htb. Agregue esta entrada a / etc / hosts y vaya al servidor web nuevamente.
En la primera publicaci贸n, queda claro que esta es una plataforma para analizar documentos de OpenOffice, y si el documento descargado pasa todas las reglas, se ejecutar谩.
Ahora necesita encontrar una manera de descargar el archivo. Echemos un vistazo a SMB.smbclient -L 10.10.10.144
Punto de entrada
Bueno, el nombre est谩 claro donde cargar. Ahora necesita generar un documento impar que contenga la carga. Para esto, puede usar el m贸dulo openoffice_document_macro del marco de metasploit.
Pero como se nos advirti贸 que se detectar谩 la carga msf de este m贸dulo, crearemos una plantilla y luego insertaremos otra carga.
Plantilla generada Verifiquemos el supuesto. Si descarga este archivo, se eliminar谩 de inmediato. 脕bralo en el archivo y cambie el siguiente archivo: B谩sico / Est谩ndar / M贸dulo1.xml. Y cambie la extensi贸n a ODS.
En este caso, solo hacemos ping a nuestro autom贸vil. Ahora abra, ejecute tcpdump, especificando la interfaz y el protocolo para el filtro.tcpdump -i tun0 icmp
Sube el archivo al servidor.
Y observamos ping en tcpdump'e.
USUARIO
Ahora usando msfvenom generamos el medidor de cargapreter en formato exe.
Lo colocaremos en un servidor local. Para registrar la carga en nuestro documento, 谩bralo en el archivo y cambie el siguiente archivo: Basic / Standard / Module1.xml.En este caso, descargamos la carga generada desde nuestra m谩quina y ejecutamos el archivo descargado.
Despu茅s de guardar, cambie el formato a ODS y cargue el archivo en el servidor.
Y despu茅s de unos segundos, vemos una sesi贸n abierta de meterpreter.
Y nos llevamos al usuario.
RA脥Z
Despu茅s de echar un vistazo a la m谩quina, en la carpeta Documentos hay una secuencia de comandos PS interesante.
Y el siguiente fragmento de c贸digo se encuentra con un ataque ZipSlip, cuando podemos descomprimir el archivo en el lugar correcto. Vamos a ver. Para crear el archivo utilizamos Evil-WinRAR-Generator .
Lo cargaremos en la carpeta ods.Usamos Evil WinRAR y especificamos la ruta a la carpeta (-p), un buen archivo (-g) y el archivo que necesita descomprimir en la ruta deseada (-e).
Ahora, usando PowerShell, descargue el archivo a la m谩quina de destino en la carpeta ods.
Revisa ahora.
隆Multa! Los supuestos son correctos. Generemos una carga aspx.
Y de acuerdo con el escenario anterior, abriremos la sesi贸n.
Por lo tanto, ya estamos trabajando con el usuario de IIS. A continuaci贸n, utilizamos mi PowerSploit favorito , es decir, su m贸dulo PowerUp.
Orchestrator Update Service es un servicio que organiza las actualizaciones de Windows por usted. Este servicio es responsable de descargar, instalar y buscar actualizaciones para la computadora. Y a trav茅s de 茅l podemos ejecutar comandos. Generamos otra carga en formato exe y la dejamos en el host.
Y ahora comience a usar UsoSvc.
Y tenemos una sesi贸n.
Pero se cierra muy r谩pido, por lo que generamos otra carga, la cargamos en la m谩quina. Ejecute r2.exe nuevamente desde UsoSvc. Y en los 20-30 segundos asignados, llamamos al shell y comenzamos una nueva carga generada.
Por lo tanto, la sesi贸n de r2.exe se cierra, pero r3.exe funcionar谩 en el mismo contexto del SISTEMA.
Pero cuando intenta leer el archivo, se nos niega el acceso.
Lo m谩s probable es que est茅 encriptado. Asegur茅monos de eso.
Y vemos que podemos abrirlo desde debajo de Coby. Entonces robemos su token, un token de acceso. 驴Por qu茅 conectar el m贸dulo en meterpreter?
Veamos la lista de tokens en el sistema.
Y toma la ficha de Coby.
Ahora que estamos leyendo un archivo en su contexto de seguridad.
El auto ha pasado.Puedes unirte a nosotros en Telegram . Formemos una comunidad en la que haya personas con conocimientos en muchas 谩reas de TI, para que siempre podamos ayudarnos mutuamente en cualquier problema de seguridad de la informaci贸n y TI.