HTB-Devzat Write up
golang, git-dumper
Enumeration
80포트 웹페이지에서 로그인 정보는 찾을 수 없지만 Login as guest 를 발견
Guest 계정으로 접속 시 Hazard 라는 글쓴이가 자신의 Cisco router Attahment 파일을 올려둠
Cisco password는 type 별로 decrypt를 할 수 있는데 7의 경우 아래의 페이지에서 복호화 가능
Cisco type 7 password decrypt
우선 $1$pdQG$o8nrSzsGXeaduXrjlvKc91 의 경우 MD5 형식이기에 hashcat을 사용하여 복호화 가능
아래 두개의 Cisco password는 복호화 시 다음과 같음
획득한 패스워드로 smb포트를 통해 계정의 존재 유뮤를 확인
게시글의 글쓴이가 Hazard와 Support Admin 이였으므로 hazard와 admin, administraotr을 시도
hazard:stealth1agent가 접속 가능한것을 확인
crackmapexec smb 10.10.10.149 -u users.txt -p passwords.txt
Foothold
wimrm 포트를 통해 접근을 시도해보았지만 실패
해당 Hazard 계정이 원격 관리 사용자(Remote Management Users group)에 존재하지 않아서 로그인 실패
그러나 유효한 자격 증명을 소유하면 계속하여 탐색을 진행할 수 있음
RID Bruteforce를 사용하여 계속하여 탐색 가능
RID는 윈도우 호스트에서 사용자 또는 서비스를 고유하게 식별하는데 사용되는 SID(보안 식별자)의 일부인 상대 식별자를 나타냄
도메인 또는 로컬 식별자는 주어진 컴퓨터에 대해 일정하지만 RID는 고유함
따라서 로컬 컴퓨터 식별자에 대한 유효한 sid 사용자 이름을 반환하는 rid 값을 브루트포스 가능
crackmapexec smb 10.10.10.149 -u hazard -p stealth1agent --rid-brute
다른 계정을 찾았기에 이전에 찾은 패스워드가 유효한지 확인
winrm을 통해 해당 계정으로 접근 가능
