Что нового

Box HTB Nest

gx6060 0

gx6060

Команда форума
10.11.2019
75
101
Доброго времени суток protey.net

1591538276315.png

В этой теме я опишу прохождение машины NEST на HTB, пожалуй и начнем.
Коннектимся к подсети HTB и узнаем ip машины.

Снимок экрана_2020-02-01_11-41-35.png


1580549981739.png

Запускаем nmap что бы узнать какие порты открыты на сервере.
Код:
nmap -A -p 1-65535 10.10.10.178
image_2020-02-02_17-07-58.png

Как видим 445 порт это smb протокол (машина была пропатчена от уязвимости Eternal Blue), 4386 порт был со многими предположениями но в итоге оказалось что это телнет.
Далее получаем карту дисков общего доступа с помощью smbmap

Код:
smbmap -H 10.10.10.178 -u 1 -p 1
Снимок экрана_2020-02-01_12-41-36.png

подключаемся анонимусом, по очереди , в Users нам недоступны переходы по папками а вот Data мы можем посмотреть что лежит в папках.
Как видим в папке HR лежит интересный файл, возможно он нам и нужен.

Код:
smbclient //10.10.10.178/Data
image_2020-03-07_09-57-11.png

Важное дополнение что бы забрать файл необходимо добавить кавычки к названию , если попробовать забрать файл в названии которого есть пробелы получим ошибку , с директориями
точно также, при переходе в каталог в названии которого есть пробелы , добавляем кавычки.

Код:
get "Welcome Email.txt"
Снимок экрана_2020-02-01_12-56-57.png

Открываем полученный файл и видим наши креды для пользователя.

Снимок экрана_2020-02-01_13-07-01 (2).png
Теперь можем войти в систему имея полученные логин и пароль.
В домашнем каталоге нашего пользователя видим пустой текстовый файл, значит ничего интересного для нас тут нет и нужно искать в других каталогах.

Код:
smbclient //10.10.10.178/Users -U TempUser
Снимок экрана_2020-02-01_13-20-47.png

Присоединяемся к каталогу Data и начинаем искать возможные подсказки для дальнейших действий, попутно скачивая и изучая все найденные файлы.
Код:
smbclient //10.10.10.178/Data -U TempUser
image_2020-02-02_16-33-53.png

В каталоге RU Scanner обнаруживаем xml файл с конфигурацией.

image_2020-02-02_16-35-20.png

Изучив данный файл обнаруживаем некую связку порт логин пароль.

Снимок экрана_2020-02-01_13-32-58.png

Но при попытке войти под данной учетной записью получаем ошибку, значит пароль не верен и необходимо искать дальше.
Изучив остальные скачанные файлы, натыкаемся на запись пользователя.

Снимок экрана_2020-02-01_13-39-11.png

В истории редактирования есть упоминание пользователя C.Smith и его каталога Carl.

Снимок экрана_2020-02-01_13-39-39.png

Подключаемся к директории Secure$ используя данные TempUser и попытаемся посмотреть что есть в каталогах.
Заглянуть каталог IT нам запрещено, а вот уже каталог Carl нам доступен.
Код:
smbclietn //10.10.10.178/Secure$ -U TempUser
Снимок экрана_2020-02-01_13-44-17.png

В каталоге VB Project обнаруживаем проект , видимо пользователя Carl Smith, забираем его себе и изучаем.

Снимок экрана_2020-02-01_14-16-18.png

Расширение .sln является проектом Visual Studio, поэтому переходим на windows.
Немного разобравшись в исходниках проекта видим, что скомпилированный файл должен взять инфу из RU_Config.xml и дать нам результат в файл Log.txt в текущей директории.

1580560471558.png


1580560505305.png

Компилируем проект и запускаем, положив рядом с исполняемым файлом RU_Config.xml.
Как оказалось вывода в файл Log.txt нет , даже если файл создать вручную вывода не будет, необходимо разбираться с исходником.
В VS есть функция отладки с заходом в шаг (Вкладка Отладка -> Шаг с заходом или F11)

1580562198119.png

При проходе скрипта видим что данные читаются из RU_Config.xml.
Получаем нечто прохожее на пароль от пользователя C.Smith. "xRxRxPANCAK3SxRxRx"

1580566889739.png

Пытаемся войти с полученными данными.

Код:
smbclietn //10.10.10.178/Users -U C.Smith
image_2020-02-02_17-53-12.png

Успех,переходим в папку нашего пользователя можем забирать флаг из user.txt

Итак пользователь наш, значит необходимо получить рут.
Продолжаем изучать файлы на наличие полезной информации и дальнейшего вектора наших действий.
В каталоге HQK Reporting обнаруживаем файл Debug Mode Password.txt который на первый взгляд пустой.

image_2020-02-02_17-58-12.png

Используем команду allinfo и видим что во втором потоке файла есть информация, попробуем ее вытащить.

Код:
allinfo "Debug Mode Password.txt"
image_2020-02-02_18-00-51.png

Получаем пароль режима отладки, а так же в HQK_Config_Backup.xml находим подсказку.

image_2020-02-02_18-20-19.png

Коннектимся к телнету и разблокируем отладку.
Код:
telnet 10.10.10.178 4386
image_2020-02-02_18-23-56.png

Режим отладки разблокирован , теперь осмотрим каталоги на предмет дальнейших подсказок.
В каталоге LDAP находим файл конфигурации и читаем его командой showquery + номер файла.

image_2020-03-07_10-13-26.png

Получена связка порт , логин , хеш , как и у пользователя C.Smith.
Попытка расшифровать так же как и хеш пользователя не даст нам результатов.
В каталоге LDAP так же находится файл HqkLDAP.exe такой же файл есть и у пользователя C.Smith.

image_2020-03-07_10-28-13.png


image_2020-03-07_10-28-45.png

Забираем данный файл и попробуем декомпилировать его, нам поможет программа JustDecompile.
При изучении HqkLDAP.exe находим ключ , такой же как и в проекте C.Smith.

1583570978829.png

Проект пользователя C.Smith

1583571100601.png

Заменим данные в проекте C.Smith данными которые получили при декомпиляции HqkLDAP.exe
Так же заменим RU_config.xml подставив данные Администратора.
После всех изменений необходимо пересобрать проект Сборка -> Пересобрать решение.
Теперь запускаем наш проект с заходом в шаг и смотрим на вывод.

1583571544188.png

Получаем пароль Администратора.

1583571785982.png

Подключаемся через smb к диску C$

Код:
smbclietn //10.10.10.178/C$ -U Administrator
image_2020-03-07_11-03-53.png

Переходим на рабочий стол Администратора и забираем флаг

image_2020-03-07_11-04-28.png

На этом все, юзер и рут принадлежат нам.

Спасибо за внимание.
 
Vander 0

Vander

Команда форума
10.11.2019
483
1 109
Комментарий для поднятия темы в топ :)
А вообще, (y)
 
hoodie 0

hoodie

New Member
28.11.2019
5
6
Алсо, в smbmap можно рекурсивно листить директории
 
Верх Низ