Домашняя работа №3 (mimikatz и jucy potato)

# Домашняя работа №3 (mimikatz и jucy potato) ###### tags: `Домашние задания Cross Platform Privileges Escalation` ## Извлечение хэши паролей из памяти с помощью mimikatz 1. Допустим, что мы предварительно заполучили определенные учетные данные и подключаемся к серверу по RDP (используем учетную запись vagrant:vagrant). Загружаем удобным способом mimikatz (можно передать напрямую через RDP, скачиваем через интернет, загружаем через консоль). В нашем случае используем RDP. ![](https://i.imgur.com/dqVO8CX.png) 2. Запускаем mimikatz с параметром `# privilege::debug` данный параметр предоставит текущей учетной записи права отладки процессов. ![](https://i.imgur.com/0mLPMQo.png) Если попытаться выполнить команды получения хэша паролей из процесса lsass без предварительного получения привелегий то будет следующая ошибка. ![](https://i.imgur.com/Emg8Bg4.png) 3. После этого выполняем команду `sekurlsa::logonpasswords` для получения хэшей паролей. ![](https://i.imgur.com/F8Oqwe6.png) ## Получение паролей из SAM 1. Аналогично как предыдущем пункте запускаем mimikatz ![](https://i.imgur.com/dqVO8CX.png) Далее, мы можем использовать 2 способа извлечения хэш пароля. * **Из SAM локальных пользователей:** 2) Подменяем токен командой `token::elevate` ![](https://i.imgur.com/3rET0cD.png) 3) Извлекаем хэши командой `lsadump::sam` ![](https://i.imgur.com/wOmkZGP.png) * **Из реестра:** 2) Сохраняем необходимые ветки реестра командами: ``` reg save hklm\sam c:\sam.him reg save hklm\security c:\sec.him ``` ![](https://i.imgur.com/wIZI09T.png) 3) Похожим образом как и в предыдущем примере извлекаем хэши из веток реестра. ![](https://i.imgur.com/EWNTLDZ.png) ## Повышение привелегий из контекста web-server с помощью juicy potato 1) Предположим, что мы воспользовались определенной уязвимостью и получили доступ к консоли сервера с правами пользователя ![](https://i.imgur.com/j0yIPk4.png) 2) Нам необходимо повысить права до `NT AUTHORITY\SYSTEM` то есть от локального пользователя до суперпользователя, для этого воспользуемся локальным эксплойтом, который, если кратко выполняется аутентификацию и подменяет токен пользователя на суперпользователя при условии что в ОС имеется такая уязвимость. Скачиваем эксплойт: https://github.com/ohpe/juicy-potato и загружаем его на наш сервер. Для этого поднимает простой веб-сервер по пути скаченного эксплойта на нашем сервере. ![](https://i.imgur.com/yrDDD1H.png) Загружаем эксплойт на атакуемый сервер. ![](https://i.imgur.com/EcpJUHH.png) 3) После того, как мы загрузили эксплоит для того чтобы им воспользоваться также сгенерируем эксплойт через msf для получения reverse shell. ![](https://i.imgur.com/qELeP29.png) 4) Аналогичным образом как и juicypotato загружаем наш reverse shell эксплоит. ![](https://i.imgur.com/BW272xC.png) 5) Запускаем nc для прослушивания порта 6666 куда мы планируем получить наш shell с правами суперпользователя. ![](https://i.imgur.com/A1oGwH2.png) 6) После этого выполняем запускаем эксплоит juicypotato с применением reverse shell к нашему серверу и указанию нужного порта. ![](https://i.imgur.com/SI2SeSj.png) 7) В результат получаем необходимые нам права. ![](https://i.imgur.com/mYFFBpA.png)