Категория > Новости > HTB Timelapse. Атакуем Windows Remote Management и работаем с сертификатами - «Новости»

HTB Timelapse. Атакуем Windows Remote Management и работаем с сертификатами - «Новости»


26-08-2022, 00:00. Автор: Максим
CrackMapExec[/b] узна­ем вер­сию опе­раци­онной сис­темы и имя хос­та.
cme smb 10.10.11.152
Под­клю­чение с помощью CrackMapExec

Так­же сто­ит поп­робовать под­клю­чение от име­ни гос­тя (ано­ним­ную авто­риза­цию).


cme smb 10.10.11.152 -uguest -p '' --shares
Об­щие SMB-ресур­сы

И находим дос­тупную для чте­ния дирек­торию Shares.


 

Точка входа


Под­клю­чим­ся к это­му ресур­су с помощью ути­литы smbclient из пакета скрип­тов impacket и прос­мотрим дос­тупные фай­лы (при зап­росе пароля ничего не вво­дим).


smbclient.py guest@10.10.11.152
use Shares
ls
Со­дер­жимое ресур­са Shares

В катало­ге Dev най­дем архив ZIP.


cd Dev
ls
Со­дер­жимое катало­га Dev

Ска­чива­ем его коман­дой get, а при попыт­ке рас­паковать у нас зап­росят пароль.


Рас­паков­ка архи­ва

Па­роль не проб­лема, если он сла­бый, так как его мож­но переб­рать. Для перебо­ра будем исполь­зовать ути­литу fcrackzip.


fcrackzip -v -D -uwinrm_backup.zip -prockyou.txt
Ре­зуль­тат под­бора пароля

В архи­ве находим файл .pfx — сер­тификат в фор­мате PKCS#12. При попыт­ке открыть и прос­мотреть его у нас сно­ва зап­рашива­ют пароль.


Ре­зуль­тат прос­мотра PFX-фай­ла 

Точка опоры


Бу­дем наде­ять­ся, что и тут исполь­зует­ся сла­бый пароль. Мож­но пре­обра­зовать файл в фор­мат прог­раммы John The Ripper — прод­винуто­го брут­форсе­ра хешей. Вмес­те с «Джо­ном» обыч­но пос­тавля­ется ре­пози­торий скрип­тов для пре­обра­зова­ния хешей из раз­ных фор­матов фай­лов в понима­емый брут­форсе­ром фор­мат. В дан­ном слу­чае нам нужен скрипт pfx2john.


/usr/share/john/pfx2john.py legacyy_dev_auth.crt
Ре­зуль­тат пре­обра­зова­ния фай­ла

Сох­раним хеш в файл и переда­дим на перебор. В качес­тве сло­варя будем исполь­зовать зна­мени­тый rockyou.


john --wordlist=./rockyou.txt pfx.hash
Ре­зуль­тат перебо­ра хеша

Те­перь, ког­да мы получи­ли пароль от сер­тифика­та PFX, нам нуж­но извлечь из него отдель­но сер­тификат и отдель­но ключ. Для это­го вос­поль­зуем­ся ути­литой OpenSSL, которой нуж­но ука­зать:



  • фор­мат фай­ла и сам вход­ной файл (параметр -in);

  • имя фай­ла, в который записать резуль­тат (параметр -out);

  • па­рамет­ры (для клю­ча -nocerts, а для получе­ния сер­тифика­та -clcerts и -nokeys).


openssl pkcs12 -inlegacyy_dev_auth.pfx -nocerts -outkey.pem -nodes
По­луче­ние клю­ча
openssl pkcs12 -inlegacyy_dev_auth.pfx -clcerts -nokeys -outcert.crt -nodes
По­луче­ние сер­тифика­та

Те­перь нам нуж­но очис­тить фай­лы клю­ча и сер­тифика­та. Для это­го оста­вим в фай­лах толь­ко дан­ные пос­ле -----BEGIN. Теперь у нас все готово, что­бы под­клю­чить­ся к служ­бе WinRM по сер­тифика­ту. Для это­го исполь­зуем кру­тую ути­литу Evil-WinRM.


evil-winrm -S -k ./clear_key.pem -c ./clear_cert.crt -i10.10.11.152
Флаг поль­зовате­ля 

Продвижение


Пер­вым делом получим информа­цию о текущем поль­зовате­ле. Это поможет более точ­но понять кон­текст, в котором мы работа­ем.


Перейти обратно к новости