!정보보안 스터디 - 31주차 2일 - HTB 실전 내부망 모의해킹/ 개인 VPN, 리다이렉터 제작

 

 

☞ 실전 내부망 모의해킹 - HTB: enterprise

 

nmap

-p- --max-retries 1 모든포트한번만

-n  dns resolution 안하고

-Pn 핑안함

--open  오픈된것만 보여달라

그다음 저장된 스캔 파일을 가지고

cat nmap.result | grep -i tcp | grep -vi nmap | grep -i open | cut -d '/' -f 1 | tr '\n' ','

 

tcp만 nmap윗줄은 빼고 오픈된 것만
/기준으로 첫번째것만 제외하고 뒤에거제거.
엔터를 콤마로 바꿔서

포트 모두 검색할 수 있도록 편하게 바꿉니다.

-p [port list] -sV -sC -Pn -n --open
모두 검색

 

포트를 확인해보면

80 : IIS - Site doesn't have title.
> gobuster 또는 nikto 해볼 수 있겠고

ldap , kerberos
> AD 관련 해볼 수 있겠고

RDP
인증서에 common name 등 정보 알 수 있습니다.
FQDN 풀네임 및 
domain - lab.enterprise.thm

이 나옵니다.

 

 

7990 포트는 내부망입니다.
bitbucket = gitlab, github 등 (source) code management repository 입니다.
이걸 domain controller 에 깔아놨다는 거 자체가 수상합니다.
:7990 웹 접속가능.
> 안지운 깃헙 dev에서 > commit history  > username, pwd 민감 정보 발견합니다.

 

 

resolv.conf 에서 DNS (domain, nameserver ) 를 바꿀수도 있지만 오류가 나기 때문에 필요없는 domain은 지웁니다.

cme smb 로그인 시도. > 초기침투 성공

초기 침투 후 권한 상승엔

bloodhound-python -u nik@ -p -d lab.~ -c DConly --zip -v --dns-tcp --auth-method ntlm

neo4j 시작
sudo neo4j console
bloodhound 시작 > 만든 zip파일 업로드
수학적 그래프 형식으로 보여줍니다. Domain controll 안에 몇명있는지, node 관련, 그룹 보여줍니다.

cme ldap -u nik

 

로그인 되는지 먼저 확인합니다.

crackmapexec 프로그램이 안되기 때문에 대신

GetuserSPNs.py 도메인/nik:pwd -request -dc-ip

그러면 hash화된 문자형태로 나옵니다.
> hashcat -m 13100 hash -a 0 
모드; 사전공격 으로 진행합니다.
>평문을 얻었습니다.

eme smb -u bitbucket

 

해당 계정 장악했습니다 = 권한상승

다른유저 또는 dc로 더 권한 상승을 노려야합니다.

bitbucket 유저 기준에서 AD 관련 정보, 수집한 데이터를 다시 갱신합니다.
> lab-dc 에 RDP 접속할 수 있는 권한을 발견합니다.

그래서 바로 접속합니다.

xfreerdp /v:가야할DC /dynamic-resolution

 

해상도 맘대로 바꾸기 위함입니다. 
DC에 들어올 수 있고 그다음 해야할 건 여기서 user에서 로컬 권한상승입니다.
보통 local privilege escalation / local privesc 을 사용합니다.

다음 시간에 더 심화 과정을 정리합시다.

 

 

 

--

☞ 토르 브라우저와 FBI 수사망 

FBI가 이상하게도 토르로 생각보다 많이 잡습니다.

= 공개하지 않긴 하지만 파이어폭스 제로데이 취약점을 이용했다는 것이 정설입ㄴ다.
무조건 잡아야 되는 일이있으면 어떤 방법을 써서, 역해킹해서든, OSINT 노오오력을 해서든 찾으려고 할 것입니다.

= 따라서 토르의 익명성을 너무 믿으면 안됩니다. 다른 취약점 있을 수도 있고 해커의 실수 한번으로 정보가 누출되어 잡힐 수도 있습니다.

한 사례로 exit node를 운영만 한 사람이 - 아동음란물 전송으로 유죄판결을 받았습니다.

따라서 node 공유는 좋지 않습니다.

 

VPN은 암호화를 1번 하면서 다른 나라의 프록시 서버를 거친다면,
토르는 암호화 3번 하며 세계 곳곳을 돌아다니는 차이가 있습니다.

 

 

☞ VPS 개인서버 제작

디지털 오션, vultr, aws 등 여러가지 VPS 제공 업체가 있지만

vultr가 가장 보편적으로 알려졌기 때문에 기준으로 설명합니다.

어디에 프록시 서버를 둘지 나라 설정 가능합니다.
운영체제: 우분투

한달 6천원으로 생각보다 싸게 VPS 프록시서버를 돌릴 수 있습니다.

 

처음에는 ssh로 들어갑니다.
squid는 관리하기에 편리합니다.
apt update 및 install을 진행합니다.

 

/etc/squid/squid.conf 에서
내ip만 들어오게 설정합니다.


기본 설정은 모든 포트 검사를 막게 되지만
ufw allow squid

systemctl restart하면

방화벽 3128포트를 열어줍니다.

firefox 프록시 설정에서 따로

[프록시ip]:3128 로 설정하면 공인 IP가 바뀐 것을 볼 수 있습니다.

프록시서버가 잘 적용되어 

이제 [싱가폴] 서버를 통해서 인터넷 돌아다니게 됩니다.
이걸 통해서 아주 쉽게 중국 등 본인이 만든 프록시 서버로 돌아다닐 수 있게 되었습니다.

 

참고로 WSL은 반가상화로 가상화인척하는거라 비추입니다.

☞ Redirector구성

실제 공격자들이 쓰는 방법이라 일반인은 많이 쓸일이 없습니다.
VPS로 C2 서버를 구축해놓고 그걸로 직접 공격하면
블루팀에서 IP차단합니다. 추적, 발각될 때마다 서버 다른거 다시 만들어야하는 번거로움이 발생합니다.
그래서 공격자들은  아무것도 안하는 대리인, 전달자인 리다이렉터를 연결합니다.

리다이렉터만 새로만들어서 차단당하면 새로 만들고 공격하면 됩니다.
실제 서버인 C2서버는 IP추적을 못하며 못잡습니다.

 

보통 공격자들이 공유하는 그 링크는 거의 하루 쓰고 없어집니다.

범죄자들의 꼬리자르기라고 보시면 됩니다.
요즘은 클라우드 가상화가 간단하기도 해서 더 성행합니다.

socat TCP4-LISTEN:80, fork TCP4:[ip]

프록시서버에 명령어를 입력해서 리다이렉터를 연결합니다.
wireshark 에도 확인할 수 있지만
심부름꾼이랑만 얘기하고 실제서버는 안전하다고 볼 수 있습니다.

또는
iptable 포트포워딩을 직접 구성하는 방법도 가능합니다.

참고로 프록시 쓸 때 아이디비번넣고 쓰게할 수도 있습니다.

 

!KISEC

 

!프로젝트