LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kgtakm(kgtakm)

TryHackMe WriteUp:Blueprint

Posted at

Task1: Blueprint

まさかのお題は2つのみ

root.txt

順番は逆だが、先にとけたのでこちらから記載

といいつつ、いろいろWriteupを調べてみましたが、どれもうまくいかず。。。

どのWriteupでもsearchexploit oscommerceの結果から44374.pyを選んでいたが、これがうまくいかなかったので、おそらく新しい方だと思われる50128.pyを選んだところうまくいきました!

image.png

image.png

root.txtは以下にありました!

RCE_SHELL$ type C:\Users\Administrator\Desktop\root.txt.txt
<br />
<b>Notice</b>:  Undefined index: cmd in <b>C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes\configure.php</b> on line <b>27</b><br />
THM{XXXXXXXXXXX}

次はユーザー名LABのパスワードを入手しないといけない

以下のWriteupの内容をもとに実施しました!
https://github.com/kimignacio/TryHackMe-Writeups/issues/2

"Lab" user NTLM hash decrypted

流れは以下になります

  1. 攻撃対象端末でレジストリ値を保存
  2. SMBで攻撃対象のフォルダをマウント
  3. マウントしたフォルダC:\Usersに1で保存したファイルをコピー
  4. ローカルから3のファイルを別フォルダーにコピー
  5. impacket-secretsdumpでハッシュ値を抜き出す
  6. Crack Stationに入れて解析する

それぞれ(つまづいたところを)詳細に説明していきます。。

1. 攻撃対象端末でレジストリ値を保存

以下のコマンドでSAMとSYSTEMのレジストリ値をテキストファイルで保存

reg save HKLM\SAM sam.txt

reg save HKLM\SYSTEM system.txt

このテキストファイルで保存することが重要で、参考にしたWriteupだと.saveで保存していたが、この拡張子だとローカルからSMBでマウントしたフォルダを確認しても、ファイルが表示されなかった。。。
てか、初めてみたよ、、.saveなんていう拡張子(初心者)

2. SMBで攻撃対象のフォルダをマウント

nmapのポートスキャンでSMBのポート番号445が開いていたので、
smbmap -H 10.10.22.253 -u user でSMBが使えるか確認したところ、UsersというユーザーがRead Onlyで使えそう

image.png

ローカルの好きなところにフォルダを作成して、以下コマンドでマウントを実行

sudo mount -t cifs //10.10.22.253/Users mount -o username=guest

3. マウントしたフォルダC:\Usersに1で保存したファイルをコピー

コピー。。。これが重要でした。。。
攻撃対象端末はWindowsなのでcopyコマンドでコピーできるのですが、これをmoveコマンドで実行しても対象端末内で移動はさせれますが、ローカルからは確認できなかったです。。
権限か何かでしょうか。。。。

4. ローカルから3のファイルを別フォルダーにコピー

これは作業用に抜き出すだけです。sam.txtとsystem.txtは同じフォルダーに入れてください

5. impacket-secretsdumpでハッシュ値を抜き出す

以下のコマンドでUserとHash値を抽出します

sudo impacket-secretsdump -sam sam.txt -system system.txt local

少しだけ補足すると、SAM ファイルには以下の情報が含まれています:

  • ユーザーアカウントの情報(名前、SID)
  • 暗号化されたパスワードのハッシュ(LM と NTLM)

そして、パスワードのハッシュ値の暗号化を解除するキーがHKLM\SYSTEMに格納されているので、この二つの情報からユーザー名とパスワードのハッシュ値を抽出することができます!

6. Crack Stationに入れて解析する

得られたHash値をCrack Stationに入れて復号します。
コロンで区切られているので、全部分けて入力してくださいね(最初気が付かなかった(-_-;))
Crack Station:https://crackstation.net/

さいごに

いや、結構しんどかった。。。
設問は少なくてガイドの役割を果たしていなかったし、そのせいもあってかWriteupにはいろいろなやり方が記載されていて、うーんんという感じだった(しかもどれもうまくいかない( ;∀;))

我慢強くいろいろ試していくことが重要なんだと身に染みた問題でした。。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?