hack the box обучение
Cyber Security Training
Practice on live targets, put your knowledge to the test
Train through your browser utilizing a web-based workstation
Courses for every skill level, ranging from fundamental to expert
LATEST NEWS
Become a Bug Bounty Hunter!
Enroll in the new exciting Academy Job-Role Path by Hack The Box and HackerOne.
20 modules in total: from Web Applications fundamentals to Bug Bounty Hunting methodology.
26 AUG 2021
Introducing «Job Role Paths» on HTB Academy. Learn the skills necessary to perform all activities of a specific cybersecurity job role! Sign up and choose your path: academy.hackthebox.com/paths/jobrole
14 JUN 2021
HTB Academy for Business is now available in soft launch. Businesses that want to train and upskil their IT workforce through the online cybersecurity courses in HTB Academy can now utilize the platform as corporate teams.
22 APR 2021
The «Student Sub» for HTB Academy has landed. Sign up with your academic email address and enjoy the discounted subscription.
09 APR 2021
CPEs per Module Difficulty:
Cyber Security Courses
Nmap is one of the most used networking mapping and discovery tools because of its accurate results and efficiency. The tool is widely used by both of.
This module covers the fundamentals of password cracking using the Hashcat tool.
This module provides an overview of Active Directory (AD), introduces core AD enumeration concepts, and covers enumeration with built-in tools.
Web applications provide a large potential attack surface and need to be secured properly. A firm grasp of the basics of how applications communicate.
Learn how to improve your JavaScript code’s security through Code Review, Static/Dynamic Analysis, Vulnerability Identification, and Patching.
This module will take you step-by-step through the fundamentals of JavaScript Deobfuscation until you can deobfuscate basic JavaScript code and unders.
Cyber Security Training
Practice on live targets, put your knowledge to the test
Train through your browser utilizing a web-based workstation
Courses for every skill level, ranging from fundamental to expert
LATEST NEWS
Become a Bug Bounty Hunter!
Enroll in the new exciting Academy Job-Role Path by Hack The Box and HackerOne.
20 modules in total: from Web Applications fundamentals to Bug Bounty Hunting methodology.
26 AUG 2021
Introducing «Job Role Paths» on HTB Academy. Learn the skills necessary to perform all activities of a specific cybersecurity job role! Sign up and choose your path: academy.hackthebox.com/paths/jobrole
14 JUN 2021
HTB Academy for Business is now available in soft launch. Businesses that want to train and upskil their IT workforce through the online cybersecurity courses in HTB Academy can now utilize the platform as corporate teams.
22 APR 2021
The «Student Sub» for HTB Academy has landed. Sign up with your academic email address and enjoy the discounted subscription.
09 APR 2021
CPEs per Module Difficulty:
Cyber Security Courses
Nmap is one of the most used networking mapping and discovery tools because of its accurate results and efficiency. The tool is widely used by both of.
This module covers the fundamentals of password cracking using the Hashcat tool.
This module provides an overview of Active Directory (AD), introduces core AD enumeration concepts, and covers enumeration with built-in tools.
Web applications provide a large potential attack surface and need to be secured properly. A firm grasp of the basics of how applications communicate.
Learn how to improve your JavaScript code’s security through Code Review, Static/Dynamic Analysis, Vulnerability Identification, and Patching.
This module will take you step-by-step through the fundamentals of JavaScript Deobfuscation until you can deobfuscate basic JavaScript code and unders.
Полное руководство на русском языке о Hack The Box Pen-testing Labs.
Мое знакомство началось с регистрации. Прочитав на сайте фразу: “Click below to hack our invite challenge, then get started on one of our many live machines or challenges”. Тут уже и начинается наше обучение.
Процесс получения кода:
2. Просмотр скрипта и его анализ.
Эти функции можно использовать в консоли браузера. Переходим обратно на страницу, где подключен этот скрипт.
3. Переходим в консоль и используем функцию. Консоль находится в инструментах разработчика.
Получаем ответ на запрос. Мы видим закодированный инвайт код:
Переходим на сайт для декодирования. И из Base64 получаем полноценный инвайт код:
У вас будет свой индивидуальный инвайт код. Код, который сайт выдал мне не подойдёт вашему аккаунту. Думаю зарегистрироваться с ним вы сможете сами.
После регистрации мы с вами проведем обзор меню:
Looking for job?
Проходим мимо этот раздел и последующие 2.
Team Rankings…Pro Lab Rankings
Такие-же топы. Идём дальше.
Access
Страница скачивания конфигурации для OpenVPN. С помощью нее мы будет получать доступ к машинам. Позже мы подробнее разберём этот раздел.
Во второй части мы как раз будем разбирать одно из видео, чтобы понять последовательность действий для прохождения машины. После просмотра 10-20 таких машин вы сможете самостоятельно попробовать получить доступ.
Раздел предназначен для профессионалов в своём деле. Режим похож на CT. Сам не проходил. Много рассказать о этой машине не могу.
Private Messages
Здесь мы отправляем личные ообщения другим пользователям или начинаем групповой чат.
Forum
Сюда обычно надо обращаться за помощью, но тут запрещено сразу говорить ответы. Задав вопрос, опытные пользователи намекнуть вам на правильное направление.
Курсивом выделен не менее годный плюс випа. Машины, которые уходят в “отставку” уже пройдены многими пользователями и их прохождение в 90% случаев уже есть. Это позволяет новичку в случае трудностей подсмотреть, а не долго искать ответы на свои вопросы. Многие скажут, что это минус, и я не смогу это отрицать, потому что именно умение поиска нужной вам информации повышает ваш профессионализм.
Я ни в коем случае не продаю вам вип. Без него можно спокойно обучаться пентесту и стать гуру.
Прохождение лабораторной машины для пентеста «Hackthebox — Friendzone»
Привет, Хабр! В этой статье хочу вам рассказать про свой опыт прохождения лаборатории Friendzone на портале hackthebox. Для тех, кто не слышал, что такое hackthebox — это портал, на котором вы можете проверить свои умения пентеста на практике, имеются CTF таски и собственно лабораторные машины, о прохождении одной из которых и пойдет речь в этой статье.
Скажу сразу, что в правилах сервиса написано: «Dont share how you hacked each machine with other members. This includes the invite code generation and all challenges». Но так как эта машина уже не активна и хранится в разделе «Retired Machines», доступ к машинам в этом разделе и writeup’ам имеют только VIP-участники, то данная статья ничего не нарушает и вполне законна. И так начнем!
Сбор информации
Начнем разведку с запуска сканирования портов с помощью nmap.
Из приведенного выше видно, что порты 21 (ftp), 22(ssh), 53(domain), 80(http), 139(netbios-ssn), 443(https) открыты. Давайте же рассмотрим их.
Enumerate 139/tcp (netbios-ssn)
Воспользуемся утилитой enum4linux для перечисления расшаренных ресурсов на хосте. Из вывода утилиты видно, что разрешено входить на ресурсы /general и /Development
Теперь нам необходимо проверить эти ресурсы.
С помощью smbclient //10.10.10.123/general находим файл creds.txt, содержащий некие учетные данные, сохраним его.
DNS enumeration
Воспользуемся утилитой dig, которая дает возможность проверить записи на указанном DNS сервере для домена/поддомена. Имя домена friendzone.red взято из CommonName ssl-сертификата (вывод nmap для 443/tcp).
Замечаем почтовый ящик info@friendportal.red и снова воспользуемся dig.
Добавляем полученные записи в /etc/hosts
Теперь у нас есть список адресов, которые необходимо просмотреть для следующих зацепок. Опущу часть повествования, где страницы оказались кроличьими норами. Рассмотрим только полезные находки.
Заходим на administartor1.friendzone.red и вводим учетные данные, найденные на //10.10.10.123/general/creds.txt
Просят ввести некие параметры для получения картинок. В итоге нам доступны 2 изображения.
Методом проб и ошибок понимаем, что страница уязвима к LFI (Local File Inclusion). И что мы можем загрузить шелл через smbclient и обратиться к нему с помощью данной уязвимости. Пробуем!
Загружаем шелл в Developments.
Возвращаемся на страницу и обращаемся к загруженному шеллу.
Перед этим, конечно, же запустив netcat на прослушивание порта 1234.
Получаем оболочку пользователя www-data.
Пробежавшись по вулнбоксу находим файл mysql_data.conf, который содержит учетные данные от пользователя friend.
Попробуем получить терминал и залогиниться под пользователем friend.
Заходим в домашнюю директорию /home/friend и забираем пользовательский флаг.
Захват root.txt
Загрузим на вулнбокс pspy64, чтобы отследить запущенные процессы.
Запускаем pspy64, перед этим выставив «исполнение» файлу chmod +x.
Замечаем, что reporter.py запускается от пользователя, у которого UID=0 (т.е. root). Посмотрим содержимое файла reporter.py
Практически все строки закомментированы и не несут смысла, кроме первой, где импортируется модуль os. Library hijacking?
Hack The Box — прохождение Forest. AS-REP Roasting, атаки DCSync и Pass-The-Hash
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье разберемся с AS-REP Roasting в схеме аутентификации Kerberos, используем BloodHound для разведки в домене, выполняем атаку DCSync PrivExchange и атаку Pass-The-Hash.
Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ 🙂
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Recon
Данная машина имеет IP адрес 10.10.10.161, который я добавляю в /etc/hosts.
10.10.10.161 forest.htb
Первым делом сканируем открытые порты. Так как сканировать все порты nmap’ом долго, то я сначала сделаю это с помощью masscan. Мы сканируем все TCP и UDP порты с интерфейса tun0 со скоростью 1000 пакетов в секунду.
На хосте оказалось очень много открытых портов, и я решил удостовериться правильности результатов, предоставленных masscan. Для этого просто просканировал состояние портов в nmap.
Но nmap все подтвердил. Далее нужно собрать больше информации об известных nmap’у портах.
Далее необходимо получить как можно больше информации из системы. Для этого я использовал enum4linux. Но он нам выдал мало информации. Группы, требование к паролям, отсутствие SMBv1 и расшаренных ресурсов и т.п. Однако мы получили список пользователей.
Так как на хосте работает керберос, необходим проверить, есть ли такая учетная запись пользователя, у которой в UAC установлен флаг DONT_REQ_PREAUTH. Про флаги UAC и что они означают, можно подробно узнать здесь. Флаг DONT_REQ_PREAUTH означает, что для данной учетной записи не требуется предварительная проверка подлинности Kerberos.
Для начала следует узнать, какие из учетных записей пользователей активны. Это поможет сделать скрипт samrdump входящий в состав пакета impacket.
Скрипт выводит сначала всех пользователей, а затем подробную информацию о каждом из них. Так можно наблюдать, что учетная запись Administrator активна, а Guest — нет. Теперь мы можем составить список активных пользователей.
Когда у нас есть список активных пользователей, мы можем проверить наличие нужного нам флага. Это мы можем сделать с помощью скрипта GetNPUsers, также входящего в состав пакета impacket. Мы указываем домен htb.local, контроллер домена 10.10.10.161, способ аутентификации керберос(-k), опция без пароля и список пользователей.
Нам говорят, что данный флаг у всех пользователей, кроме svc-alfresco не установлен. В моей версии impacket (21-dev) хеш запрашивается автоматически.
Entry Point — AS-REP Roasting
Пару слов о том, что за хеш нам вернули. Внизу представлена схема аутентификации Керберос.
Как можно видеть, на первом этапе: клиент посылает сообщение c идентификатором пользователя на сервер аутентификации AS с запросом услуги от имени пользователя. AS генерирует секретный ключ путем хэширования пароля пользователя, найденного в базе данных.
Таким образом мы можем пробрутить хеш и узнать пароль. Данный вид атаки называется AS-REP Roasting. Сохраним хеш в файл и найдем прообраз.
И мы находим пароль пользователя.
Если вернуться к открытым портам, можно обнаружить работающую службу WinRM (или Windows Remote Management), предназначенную для удаленного управления. У нас есть логин и пароль пользователя, поэтому мы можем спокойно подключиться к ней. Для этого я использую evil-winrm.
Таким образом мы берем юзера.
Разведка с BloodHound
Теперь нам нужно повысить себе привилегии. Для того, чтобы наметить пути LPE в домене, можно использовать программу BloodHound.
Evil-winrm позволяет загружать файлы как на хост, так и с него. Я загрузил на хост SharpHound — модуль для сбора информации.
Также evil-winrm позволяет выполнять powershell скрипты. Укажем пользователя, пароль, а также то, что мы хотим узнать все, что можно.
После выполнения скрипта, в текущей директории появится zip-архив. Его мы загружаем с хоста.
Далее запустим графовую СУБД neo4j, с которой работает BloodHound.
Теперь запустим BloodHound. Нас встретит пустой экран.
Теперь просто перетаскиваем в него скачанный архив. И переходим на вкладку Queries.
И говорим, что хотим найти кратчайшие пути к Админам домена. BloodHound построит граф — путь нашего последовательного продвижения. Нажимая на каждый узел сети, будем получать о нем информацию.
Таким образом, нам говорят, что мы должны стать членом группы Exchange Windows Permissions, так как относимся с привилегированной группе Service Accounts, а только потом мы можем повышать привилегии.
Сейчас пользователь не входит в данную группу. Давайте добавим его, а потом проверим группы пользователя.
Пользователь успешно добавлен в группу. Теперь разберемся, что это нам дает. Группа Exchange Windows Permissions обладает правом WriteDACL (право на выдачу прав) на объект Domain в Active Directory, что позволяет любому участнику группы изменять привилегии домена, в том числе на выполнение DCSync операций.
DCSync
Немного об атаке DCSync. Репликация Active Directory — это процесс, посредством которого изменения, внесенные на одном из контроллеров домена, синхронизируются с остальными контроллерами в домене. При получении необходимых разрешений мы можем инициировать запрос репликации, что позволит нам получить данные, хранящиеся в Active Directory, в том числе хэши паролей.
То есть мы можем синхронизировать хеши паролей пользователей Active Directory и под их именем авторизоваться в любом сервисе, использующем протоколы NTLM (разработанный Microsoft протокол сетевой аутентификации) или Kerberos. Атака предусматривает использование двух инструментов privexchange.py и ntlmrelayx.py из пакета impacket.
Первым делом запустим ntlmrelayx в режиме ретрансляции LDAP на контроллер домена с учетной записью svc-alfresco.
Все сервисы запущены и ожидают подключения. Теперь используем privex.
И тут у меня полетела куча ошибок, покопавшись пару минут, было принято решение их не устранять. Можно перейти по ссылке выше в браузере и с учетными данными svc-alfresco пройти HTTP аутентификацию. В окне с ntlmrelayx увидим информацию о подключении.
Теперь выполним Атаку DCSync с помощью secretsdump.
Отлично. Мы смогли выполнить репликацию всех учетных записей.
Атака Pass-the-hash
Данная атака позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.
В системах, использующих протокол аутентификации NTLM, пароли никогда не передаются по каналу связи в открытом виде. Вместо этого они передаются соответствующей системе (такой, как контроллер домена) в виде хешей на этапе ответа в схеме аутентификации вопрос-ответ.
Приложения Windows запрашивают у пользователя пароль в открытом виде, а затем вызывают API (например, LsaLogonUser), которые преобразуют пароль в LM хеш и NTLM хеш и передают их в процессе аутентификации. Анализ протоколов показал, что для успешной аутентификации не обязательно знать пароль в открытом виде, вместо этого может использоваться только его хеш.
В основе атаки лежит слабость в реализации протокола сетевой аутентификации. Она заключается в том, что хеши паролей передаются без использования соли, а потому остаются неизменными от сессии к сессии (до тех пор, пока не изменяется пароль пользователя). Другими словами, для атакующего хеши паролей эквивалентны самим паролям.
Выполним атаку с помощью psexec.
Мы в системы с полными правами.
Вы можете присоединиться к нам в Telegram. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.