HTB - Bastard Write-up

nmap -sS -Pn -T4 -p- 10.10.10.9

指定port完整掃描


先開gobuster對80做爆破，同時手動翻nmap找出有趣的路徑或檔案


另因nmap找到的robots.txt內容太多，直接手動瀏覽


直接手動嘗試發現許多檔案、路徑直接403，再翻一下changelog.txt，得知使用drupal 7.54版


searchsploit先搜尋


把檔案co出來


裡面有幾段需要做調整


endpoint_path實際連會發現沒這個路徑，後來在前面的gobuster跑爆破過程中有發現類似路徑rest，實際存取確認成功


再把poc調整一下


另因可poc可直接rce，先調整一下直接讓靶機回連


起http service

發現錯誤訊息


把php內的註解拿掉
 

在執行一次又會顯示錯誤訊息


繼續拿掉註解，再執行


檢查目前路徑新增的兩個json檔，其中的session應可用來作為登入使用


直接從burp改cookie


重新回到首頁的登入畫面，隨便打個帳密案登入即可以管理者身分登入成功


在Module裡面發現有個功能php filter被關閉，先把他打勾，按儲存


點Add new content->Article，發現可新增貼文，直接用msfvenom產php reverse shell


把內容貼到貼文上，再調整一下內容，移除註解、最後面加上?>，格式選擇php code，先不按儲存


再開msfconsole用handler接好後，點儲存即可回連成功


sysinfo得知為2008


使用https://github.com/SecWiki/windows-kernel-exploits/blob/master/MS15-051/MS15-051-KB3045171.zip


要執行時發現接得不是很穩，常常timeout，直接在做一個reverse tcp


用原本的shell上傳、執行


9998 reverse接成功


執行poc


再來直接傳一個nc上去，透過ms15-051回連即可取得system shell

HTB - Active Write-up

nmap掃描：
nmap -sS -Pn -n -T4 -p- 10.10.10.100



再針對已開的port掃sV跟A


smbmap -H <ip> 檢查權限


smbclient //10.10.10.100/Replication進入後recurse ON->prompt OFF->mget *把檔案全載回來後再慢慢翻


grep -ril "pass" *找有趣的檔案，發現存在Groups.xml，可直接透過gpp-decrypt解密


gpp-decrypt <cpassword>，得知密碼


leafpad看domain、帳號

smbclient先撈SVC_TGS的桌面資訊，找到user.txt，直接mget回來，即可取得flag


因已取得一組帳密，且kerberos也有開，就透過https://raw.githubusercontent.com/SecureAuthCorp/impacket/master/examples/GetUserSPNs.py撈hash

GetUserSPNs.py -request -dc-ip 10.10.10.100 active.htb/SVC_TGS:GPPstillStandingStrong2k18後發現顯示錯誤訊息


看issue得知要更新impacket版本，直接pip install --upgrade impacket即可，再跑一次，成功取得hash


先把hash儲存檔案，另可在hash最前段得知採kerberos tgs方式，hashcat -m 13100用rockyou直接爆破取得admin密碼


直接用impacket的wmiexec連入，取得root

【Root-Me】Command & Control - level 2~6 Write-up

依照https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-2?lang=en說明，flag為hostname

首先檢查image資訊：

透過hivelist列出registry hive

得知SYSTEM虛擬位址如下：

0x8b21c008 0x039ef008 \REGISTRY\MACHINE\SYSTEM

列出hostname即為flag

Command & Control - level 3

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-3指示，找出可疑的檔案

先透過pstree列出process

找到可疑的cmd.exe發現其父process為iexplore

因level2時已得知使用者的ntuser.dat位址，即可查最常見的Run registry hive

因正常Run無iexplore.exe的啟動項，且路徑也非正常的 C:\Program Files\Internet Explorer\iexplore.exe，判斷可能是惡意程式

再透過cmdline確認PID2772的iexplore.exe是非正常的路徑iexplore.exe

 md5sum惡意程式的完整路徑即為flag

Command & Control - level 4

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-4指示，要找出攻擊者使用的IP:port

先透過netscan找PID 2772，發現無法得知真正的連線

從level2中得知iexplore.exe有去叫cmd.exe，可推測攻擊者會在其中輸入資訊，故透過console查詢追PID 1616

得知攻擊者有執行tcprelay，指令一定會包含其ip、port，而因在cmd.exe中的指令均會由conhost.exe做處理，故追查PID 2168

得知ip與port

Command & Control - level 5

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-5指示，要找出使用者的密碼，先透過hashdump撈John的密碼

google ntlm hash得密碼

Command & Control - level 6

依據https://www.root-me.org/en/Challenges/Forensic/Command-Control-level-6指示，找出c2 domain

先從level2得知的iexplore PID做 process dump，還原惡意程式

丟到線上掃描工具，逐一將domain餵入解答即可