- Katılım
- 22 Ocak 2024
- Mesajlar
- 26
- Tepkime puanı
- 40
- Puanları
- 13
Herkese merhabalar. Bu yazımda HackTheBox platformunda emekliye ayrılmış olan Resolute makinesinin çözümünü anlatacağım. İyi okumalar.
Nmap taraması ile başlıyorum.
Çıktı bu fotoğraftan daha fazla.
Ben numaralandırmaya SMB ile başlıyorum. İlk olarak SMB sunucusunu Anonymous olarak listelemek istiyorum, ancak başarısız oluyorum.
SMB sunucusuna anonim olarak herhangi bir işlem yapamadığım için doğrudan LDAP sunucusunu enumerate etmeye başlıyorum.
İlk olarak, genel bir enumeration tekniği uygulamak için bir Nmap scripti kullanıyorum.
Bu komut sonrasında elime bir domain geçiyor --> megabank.local
Daha sonra LDAP sunucusundaki kullanıcıları enumerate etmek için bir komut giriyorum.
Çıktıda birçok kullanıcı adı buluyorum.
Burada ilk dikkatimi çeken kullanıcı 'melanie' çünkü bu kullanıcı 'Remote Management Users' grubunda yer alıyor.
Burada 'melanie' kullanıcısına crackmapexec ile bir bruteforce (xato-1000 ile) uyguladım, ancak başarısız oldum. Daha sonra bu kullanıcıları bir listeye kaydettikten sonra ASREP Roasting saldırısı uyguladım.
ama herhangi bir sonuç alamadım.
Bulduğum kullanıcılarla bir şey yapamayınca , bu sefer bulduğum domain üzerinde herhangi bir DNS zone transferinin gerçekleşip gerçekleşmediğine bakıyorum.
Herhangi bir transfer gerçekleşmediğini görüyorum. Bu aşamadan sonra LDAP'ta daha kapsamlı bir numaralandırma yapıyorum.
Yaptığım taramada bulduğum kullanıcıların yanı sıra, başka kullanıcılar da buluyorum. Buna ek olarak, bazıları özellikle dikkatimi çekiyor.
Bir şifre bulduktan sonra, ağdaki kullanıcılara password spraying saldırısı uyguluyorum.
Yukarıda bahsettiğim 'Remote Management User' grubunda olan 'melanie' kullanıcısının şifresini Welcome123! olarak buluyorum ve evil-winrm ile giriş yapacağım.
Giriş yaptıktan sonra otomatik olarak enumerate yapmama izin vermediği için manuel olarak enumeration yapıyorum. C dizini altında farklı bir klasör buluyorum (dosyaları doğrudan listelediğinizde görünmüyor, 'dir -force' komutu yardımcı olacaktır (linux'taki 'ls -la' ile aynı işlev)). Bu klasörün içinde farklı bir dosya buluyorum, bu dosya Powershell'in history dosyasına benzer bir dosya. Bunu ekrana yazdırdığımda 'ryan' adlı kullanıcının şifresini elde ediyorum.
Ryan olarak giriş yapıyorum.
Sistem içinde Ryan'ın ait olduğu grupları listeliyorum ve dikkatimi bir grup çekiyor.
Active Directory içinde DnsAdmins grubunu araştırdığımda DNS servisi üzerinde DLL Hijacking yapabilme yetkisine sahip olduğumu görüyorum.
Çalıştırıldığında bize bir reverse shell verecek bir DLL payload'ı oluşturdum.
Bunu sisteme indirmek yerine direkt olarak bir SMB sunucusu kurarak bu SMB sunucusu üzerinden çalıştırılmasını sağlayacağım.
dnscmd aracını kullanarak DNS servisinin kullandığı DLL dosyasını kendi oluşturduğumuz malicious.dll dosyası ile değiştiriyorum.
Listener'ımı kuruyorum... DNS sunucusunu yeniden başlattığımda SYSTEM shell'ine sahip olacağım.
User ve root flag'lerini alıp makineyi kapatıyorum.
Buraya kadar okuduğunuz için teşekkür ederim.
Nmap taraması ile başlıyorum.
Çıktı bu fotoğraftan daha fazla.
Ben numaralandırmaya SMB ile başlıyorum. İlk olarak SMB sunucusunu Anonymous olarak listelemek istiyorum, ancak başarısız oluyorum.
SMB sunucusuna anonim olarak herhangi bir işlem yapamadığım için doğrudan LDAP sunucusunu enumerate etmeye başlıyorum.
İlk olarak, genel bir enumeration tekniği uygulamak için bir Nmap scripti kullanıyorum.
nmap -sV --script "ldap* and not brute" 10.10.10.169
Bu komut sonrasında elime bir domain geçiyor --> megabank.local
Daha sonra LDAP sunucusundaki kullanıcıları enumerate etmek için bir komut giriyorum.
ldapsearch -x -H ldap://10.10.10.169 -w '' -b 'CN=Users,DC=megabank,DC=local
'
Çıktıda birçok kullanıcı adı buluyorum.
Burada ilk dikkatimi çeken kullanıcı 'melanie' çünkü bu kullanıcı 'Remote Management Users' grubunda yer alıyor.
Burada 'melanie' kullanıcısına crackmapexec ile bir bruteforce (xato-1000 ile) uyguladım, ancak başarısız oldum. Daha sonra bu kullanıcıları bir listeye kaydettikten sonra ASREP Roasting saldırısı uyguladım.
ama herhangi bir sonuç alamadım.
Bulduğum kullanıcılarla bir şey yapamayınca , bu sefer bulduğum domain üzerinde herhangi bir DNS zone transferinin gerçekleşip gerçekleşmediğine bakıyorum.
Herhangi bir transfer gerçekleşmediğini görüyorum. Bu aşamadan sonra LDAP'ta daha kapsamlı bir numaralandırma yapıyorum.
python3 windapsearch.py -d 'megabank.local' -dc-ip 10.10.10.169 -U --full
Yaptığım taramada bulduğum kullanıcıların yanı sıra, başka kullanıcılar da buluyorum. Buna ek olarak, bazıları özellikle dikkatimi çekiyor.
Bir şifre bulduktan sonra, ağdaki kullanıcılara password spraying saldırısı uyguluyorum.
Yukarıda bahsettiğim 'Remote Management User' grubunda olan 'melanie' kullanıcısının şifresini Welcome123! olarak buluyorum ve evil-winrm ile giriş yapacağım.
Giriş yaptıktan sonra otomatik olarak enumerate yapmama izin vermediği için manuel olarak enumeration yapıyorum. C dizini altında farklı bir klasör buluyorum (dosyaları doğrudan listelediğinizde görünmüyor, 'dir -force' komutu yardımcı olacaktır (linux'taki 'ls -la' ile aynı işlev)). Bu klasörün içinde farklı bir dosya buluyorum, bu dosya Powershell'in history dosyasına benzer bir dosya. Bunu ekrana yazdırdığımda 'ryan' adlı kullanıcının şifresini elde ediyorum.
Ryan olarak giriş yapıyorum.
Sistem içinde Ryan'ın ait olduğu grupları listeliyorum ve dikkatimi bir grup çekiyor.
Active Directory içinde DnsAdmins grubunu araştırdığımda DNS servisi üzerinde DLL Hijacking yapabilme yetkisine sahip olduğumu görüyorum.
Çalıştırıldığında bize bir reverse shell verecek bir DLL payload'ı oluşturdum.
Bunu sisteme indirmek yerine direkt olarak bir SMB sunucusu kurarak bu SMB sunucusu üzerinden çalıştırılmasını sağlayacağım.
dnscmd aracını kullanarak DNS servisinin kullandığı DLL dosyasını kendi oluşturduğumuz malicious.dll dosyası ile değiştiriyorum.
Listener'ımı kuruyorum... DNS sunucusunu yeniden başlattığımda SYSTEM shell'ine sahip olacağım.
User ve root flag'lerini alıp makineyi kapatıyorum.
Buraya kadar okuduğunuz için teşekkür ederim.