のみゾーン

毎日がわくわくドリブン

TryHackMe(THM): Zero Logon -walkthrough

セキュリティのアレで取り上げられていて、気になっていたTry Hack MeのZero Logon Roomを改めて攻略しました。

エクスプロイトを試す環境を自分で作る必要がないのが嬉しい。

https://tryhackme.com/room/zer0logontryhackme.com

Task 1 The Zero Day Angle

No answer needed

脆弱性について解説がある

日本語ではkurenaifさんの動画が一番わかりやすいと思うのでそっち見たら良さそう。

www.youtube.com

暗号化の仕様に脆弱性があって256回に1回くらいの確率で管理者パスワードをなしに設定できるんだって。みつけた人すごい。

Task 2 Impacket Installation

No answer needed

必要なツールのインストール

Task 3 The Proof of Concept

PoCのスクリプトの説明

https://raw.githubusercontent.com/SecuraBV/CVE-2020-1472/master/zerologon_tester.py

What method will allow us to change Passwords over NRPC?

NetrServerPasswordSet2

What are the required fields for the method per the Microsoft Documentation?

ドキュメントを参照して答える

docs.microsoft.com

PrimaryName, AccountName, SecureChannelType, ComputerName, Authenticator, ReturnAuthenticator, ClearNewPassword

What Opnumber is the Method?

30

Modify the PoC

No answer needed

Task 4 Lab It Up!

マシンをデプロイしてPoCを試す

What is the NetBIOS name of the Domain Controller?

nmap

PoCに必要な情報を調べる

nmap -sV -sC -vV -oA initial.nmap $IP

f:id:nomizooon:20210122105105p:plain

結果より

DC01

What is the NetBIOS domain name of the network?

HOLOLIVE

What domain are you attacking?

hololive.local

What is the Local Administrator's NTLM hash?

zeroLogon-NullPass.py

こちらを利用させていただく

github.com

前の問題で判明したドメコン名とIPアドレスを指定するだけ。

ちょっと時間かかったけどパスワードが変更できた。

f:id:nomizooon:20210123130126p:plain

secretsdump.py

こちらを利用させていただく

github.com

Cloneしてセットアップに従ってインストールする。

secretsdump.pyというスクリプトを使う

sudo secretsdump.py -just-dc -no-pass DC01\$@$IP

すでにパスワードがノーパスになっているので、Windowsに保存されているNTLMハッシュの値が表示される。

カンマで区切られた最後のところがそれ

f:id:nomizooon:20210123123916p:plain

3f3ef89114fb063e3d7fc23c20f65568

How many Domain Admin accounts are there?

結果より。

Adminはここにa-が付く。 f:id:nomizooon:20210123125727p:plain

2

What is the root flag?

Evil-WinRM

こちらを使わせていただく

github.com

gemのエラーが出たのでインストールのところは林さんのブログを参考にしました

qiita.com

GitをCloneして今まで判明している情報を使って侵入する

ruby evil-winrm.rb -u Administrator -H 3f3ef89114fb063e3d7fc23c20f65568 -i $IP

f:id:nomizooon:20210123132724p:plain

ものすごくあっさりとフラグゲット

f:id:nomizooon:20210123133016p:plain

THM{Zer0Log0nD4rkTh1rty}

以上!