Как повысить привилегии в Win7 (Exploit-DB), вскрыть ssh и получить доступ к RDP

Думаю, касательно данной темы каждый из вас уже имеет какие-то представления.  Но имеются ли у вас полезные практические навыки, которые можно было бы результативно использовать для достижения своих чётко поставленных целей? Предлагаю сегодня вместе попрактиковаться над вопросом повышения привилегий в Win 7 (Exploit-DB), что послужит нам полезным уроком для последующей работы с Active Directory.

Наконец вышел офф релиз новой версии Parrot 3.9 Так что рекомендую))). Весь материал записываю именно в этой ОС.

Как вы помните отсюда, мы получили доступ к CRM, которая в сети была по адресу 192.168.101.10:88. Но давайте немного вернемся назад и поймем, откуда появился данный адрес. Довольно известная площадка предоставляет следующую структуру сети:

Из нее выделим два основных адреса и просканируем их.

Теперь стало немного яснее и можно продолжать дальше. Смысл в том, что из CRM можно выделить важную информацию и использовать ее для дальнейшей атаки. Разберем подробнее.

Username: admin
Primary Email: admin@test.lab
First Name: darthvader

Следующий наш этап — это разбор адреса 192.168.101.10:8080. Это почта.

Из данных выданной CRM мы можем предположить, что username — это admin@test.lab, а пароль darthvader. В данном случае просто повезло. В жизни все бывает иначе и приходится потратить куда больше времени и сил для добычи/брута пароля… )))

Из почты мы получаем логин tech и rsa ключ для подлючения к шлюзу 2 офиса (Office 2 GW — 192.168.101.11). Создаем файлик с ключем (просто копируем все сообщение и делаем расширение .key) и подключаемся.

Отлично! Если взглянуть на структуру сети, видно, что есть 3 рабочих места:

192.168.13.1
192.168.13.2
192.168.13.3

На пинги они не отвечают, но на шлюзе присутствует nmap, воспользуемся им с опцией no ping -Pn

Видим терминальный сервер. По сути это RDP на порту 3389. Здорово! ) То, что надо. Надо попробовать к нему подключиться. Но сделать это так просто не получится. Сначала надо пробросить порт через консоль ssh. Нажимаем shift+~+c и вводим:

Прям ssh туннель подняли 🙂

-L 3389:192.168.13.1:3389

— это информация о привязке портов. Означает следующее: порт_клиента:имя_сервера:порт_сервера. В данном примере мы перенаправляем 3389 порт сервера на 3389 порт нашей машины.

Теперь тот момент, который заставил меня не хило «попотеть» и активно поработать мозгами))) В parrot 3.9 нет предустановленного известного freerdp. Ладно, собрал руками с git и знаете что? А вот ничего совсем! Не завелась шайтан-машина. Мои психи надо было видеть. Пришлось ещё ооочень долго сидеть и пересобирать эту задачу. При том, что пол года назад, это работало совершенно спокойно. В итоге, еще собрал remmina. Но ладно… забыли об этом. Едем дальше.

Вводим rdesktop 127.0.0.1 -u «», не указывая пользователя. Так сказать маленький lifehack, чтобы увидеть зарегестрированных пользователей на удаленном ПК и видим следующую картину:

Пользователи запаролены, поэтому придется брутить.

Скажу честно, в моем случае не помогли patator, hydra и crowbar, хотя и устанавливал freerdp-x11, freerdp2-x11 и все зависимости. В общем, пришел к выводу, что пора вспомнить старый добрый ncrack =)) Да, да! Нечего удивляться) И скажу честно, я его использую довольно часто.

Пароль я затер. Но он мне известен ))) Самое время посмотреть, что там на ПК ) брут пользователя user ни к чему не привел. Пароль будет в открытом виде на видео ниже 😉

Понятно, что мы залогинились под обычным пользователем. А user это администратор. В принципе, ничего страшного. Сейчас поднимем привилегии =) с помощью этого ))

Создаем файлик с расширением .ps1 и копируем в него код эксплойта.
Далее открываем cmd и вводим:
powershell -ExecutionPolicy Bypass
Import-Module «путь к нашему файлику целиком»
Invoke-MS16-032
И получаем:

Остается создать нового пользователя с правами администратора =)

И вот наш итоговый результат:

Теперь можно зайти под админом и творить все, что угодно)))

В видео ниже, как обычно, всё будет нагляднее. Так что получайте удовольствие =)

Шпаргалка по Remmina и FreeRDP:
https://github.com/FreeRDP/Remmina/wiki/Compile-on-Debian-9-Stretch

А в следующей статье из данной серии мы будем ломать Active Directory. Так что до встречи)