sobota, 16 września 2017

Pentestit Lab v11 - CLOUD token [writeup]

Na serwerze 192.168.10.1 w /var/tmp znajdujemy dump.pcap z pcapa nalezy wyciagnac hasło do owncloud na 192.168.10.3




z owncloud pobieramy my_store.kdbx


./keepass2john my_store.kdbx > my_store.hash2

my_store:$keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587d5ff2c2221d98efd99837fe198ab0de8a82e*330c91f974cb4df1d015bb15456d382db9c0c2f362909d5cd74f9b951fdee2f7*828fb21b74cda7ae28a21473aaa62384*f974657de86a3aca6faec09804d852a4df5fba5847e54d18e12bd81c33cce528*7ca22042949d204e2f35aae52982946c101679205aa8db0ece2135cdb574170c

usuwamy z pliku początek "my_store:"

$keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587d5ff2c2221d98efd99837fe198ab0de8a82e*330c91f974cb4df1d015bb15456d382db9c0c2f362909d5cd74f9b951fdee2f7*828fb21b74cda7ae28a21473aaa62384*f974657de86a3aca6faec09804d852a4df5fba5847e54d18e12bd81c33cce528*7ca22042949d204e2f35aae52982946c101679205aa8db0ece2135cdb574170c:reajel


PS E:\Tools\hashcat-3.6.0> .\hashcat64.exe -m 13400 -a 0 -w 3 ..\..\pentestit\my_store.hash2 ..\..\rockyou.txt --show
$keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587d5ff2c2221d98efd99837fe198ab0de8a82e*330c91f974cb4df1d015bb15456d382db9c0c2f362909d5cd74f9b951fdee2f7*828fb21b74cda7ae28a21473aaa62384*f974657de86a3aca6faec09804d852a4df5fba5847e54d18e12bd81c33cce528*7ca22042949d204e2f35aae52982946c101679205aa8db0ece2135cdb574170c:reajel

Session..........: hashcat
Status...........: Cracked
Hash.Type........: KeePass 1 (AES/Twofish) and KeePass 2 (AES)
Hash.Target......: $keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587...74170c
Time.Started.....: Sat Sep 16 16:53:59 2017 (29 mins, 47 secs)
Time.Estimated...: Sat Sep 16 17:23:46 2017 (0 secs)
Guess.Base.......: File (..\..\rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:     2621 H/s (146.45ms)
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 4685824/14343297 (32.67%)
Rejected.........: 0/4685824 (0.00%)
Restore.Point....: 4259840/14343297 (29.70%)
Candidates.#1....: ridebmxdd -> phred2525
HWMon.Dev.#1.....: Temp: 72c Fan: 33% Util:100% Core:1303MHz Mem:3004MHz Bus:16

Started: Sat Sep 16 16:53:54 2017
Stopped: Sat Sep 16 17:23:48 2017
PS E:\Tools\hashcat-3.6.0>

Hasło złamane.

Po zaimportowaniu pliku do keepass v2 uzyskamy dostęp do tokena: Sky_is_Over!

Tunel SSH pomiędzy maszyną, a kilkoma sieciami


https://github.com/apenwarr/sshuttle

sshuttle -e "ssh -i file.key" -r w4cky@172.16.0.252 192.168.10.0/24 192.168.11.0/24

nie wymaga roota :)

czwartek, 14 września 2017

Wykrywanie zalogowanych użytkowników w Windows przez RDP jeśli dla logowania potrzebny jest kerberos



(ms-wbt-server Microsoft Terminal Service.)

Problem z systemem Windows RDP polega na tym, że podczas próby ustanowienia sesji RDP konieczne będzie posiadanie prawidłowej nazwy użytkownika / hasła, która jest uwierzytelniana przez Kerberos, a także użytkownik tworzący połączenie musi być częścią grupy RDP w usłudze Active Directory, aby móc się połączyć.

Więc co powinniśmy zrobić?


Cóż, możemy próbować połączyć się z urządzeniem za pośrednictwem RDesktop i zobaczyć, kto jest zalogowany, ale to nie będzie działało, ponieważ program RDesktop nie używa schematu uwierzytelniania Kerberos, który spowodowałby awarię połączenia, a bez prawidłowej nazwy użytkownika spróbuje do połączenia jako root i zobaczymy, że userem dostępnym jest root co będzie błędne.

Możemy w rzeczywistości korzystać z innego narzędzia RDP o nazwie XFreeRDP, który wykorzystuje schemat uwierzytelniania Kerberos - ale tak nie jest! XFreeRDP ma fajną funkcję, która pozwala na wykrycie ważnych użytkowników na komputerze, jeśli nie wysyłasz żadnej nazwy użytkownika podczas łączenia!

xfreerdp /v:127.0.0.1 -sec-nla /u:""

connected to 127.0.0.1:3389
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@           WARNING: CERTIFICATE NAME MISMATCH!           @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The hostname used for this connection (127.0.0.1)
does not match the name given in the certificate:
Common Name (CN):
ARM-1
A valid certificate for the wrong name should NOT be trusted!
Certificate details:
Subject: CN = ARM-1
Issuer: CN = ARM-1
Thumbprint: 6e:3f:1f:e6:15:ee:13:c5:9f:f6:87:db:83:32:86:a4:c8:bb:7e:6f
The above X.509 certificate could not be verified, possibly because you do not have the CA certificate in your certificate store, or the certificate has expired. Please look at the documentation on how to create local certificate store for a private CA

czwartek, 29 września 2016

CyBear 32C - LAB V.9 - WriteUp

It's not a CTF, it's a clone of a real company!

Notka z lab.pentestit.ru w wersji 9. Wcześniejszych nie wrzucałem, chodź brałem udział jeszcze w 2 innych (jak znajdę starsze to wrzucę). Polecam zabawę z lab.pentestit. Sorx za literówki, ortografię itp. to notatki robocze zazwyczaj z zabawy w późnych porach nocnych ;-)

Zawiera min:
1) praktyczny atak heartbleed na ssl
2) sql injection
3) file upload (php)
4) proftpd backdoor
5) serializacja java - ysoserial
6) iscsi attack
7) windows cracking hash
8) imagemagick exploit :>



środa, 17 lutego 2016

Send JSON via curl

curl  https://[site]/page --data '{"id":114,","data":"XXXX"}' -H 'X-Requested-With: XMLHttpRequest'  -k



AngularJS XSS

Aby wykonać atak XSS bez HTMLa, wystarczy, że będziemy mogli wstrzyknąć /wyrażenia kątowe/? do aplikacji napisanej w angularJS.


Podatny kod:

<html>
<head>
<script src="https://ajax.googleapis.com/ajax/libs/angularjs/1.4.7/angular.js"></script>
</head>
<body>
<div ng-app>
<?php
$q = $_GET['q'];
echo htmlspecialchars($q,ENT_QUOTES);?>
{{3+3}}
</div>
</body>


środa, 2 grudnia 2015

Jak pobrać repozytorium git z /.git/index

Dzięki skryptom, które można znaleźć tutaj
https://github.com/internetwache/GitTools i tutaj https://www.pentestpartners.com/blog/git-extraction-abusing-version-control-systems/ możliwe jest pobranie znalezionego na serwerze repozytorium gita np: http://192.168.1.1/.git/index


https://github.com/bl4de/security-tools/tree/master/diggit