ボックスのハッキング: クラウドインフラの脆弱性の悪用

はじめに

クラウドセキュリティのスペシャリストとして、私はクラウドインフラのセキュリティ強化に関する新しい手法を常に探求しています。このアーティクルでは、HackTheBoxプラットフォームからの実際のハッキングシナリオに取り組み、クラウドベースの環境における脆弱性を発見し、悪用する方法を紹介します。

このビデオをYouTubeで視聴する

初期的な列挙と情報収集

調査の最初のステップは、nmapを使用して徹底的なネットワークスキャンを行うことです。これにより、ターゲットマシンの開いているポートと実行中のサービスを列挙できます。スキャンによって、ポート5222でJabber (XMPP)サーバーが稼働していることが明らかになり、これが初期攻撃ベクトルの焦点となります。

ターゲティングを簡単にするため、発見したホスト名を/etc/hostsファイルに追加して参照しやすくします。

ASREP Roastを使用してユーザー資格情報を取得する

Jabberサーバーが特定されたので、Pidginを使ってアカウントを登録し、利用可能なチャットルームを探索します。PidginのXMPPコンソールを活用して、ユーザー名のリストを抽出し、次の攻撃で使用します。

その後、Kerbruteというツールを使ってKerberos攻撃を実行し、ASREP Roastを行います。この手法により、いくつかのハッシュを取得でき、次の手順で解読を試みます。

ASREP Roastハッシュの解読

Hashcatを使ったASREP Roastハッシュの初期的な解読は、暗号化タイプのため困難でした。しかし、Kerbruteコマンドに’-h'(ダウングレード)フラグを追加することで、正しい暗号化タイプを指定し、1つのハッシュを正常に解読できました。その結果、ユーザー「J Montgomery」のパスワード「midnight121」が判明しました。

Bloodhoundとdcomを使った更なるアクセス獲得

J Montgomeryの資格情報でJabberサーバーにログインすると、「svc_openfire」ユーザーの資格情報が記載された新しいチャットルームが見つかりました。Bloodhoundというツールを使ってActive Directoryの環境を分析したところ、「svc_openfire」ユーザーが「ExecuteDCOM」権限を持っていることが判明しました。

DCOM実行の管理者要件を回避するため、NXCツールを変更して必要な権限を付与しました。

OpenFireサービスの悪用とシステムアクセスの獲得

Impacketのdcomexecを使ってターゲットシステム上でコマンドを実行し、「svc_openfire」ユーザーとしてのリバースシェルを取得しました。その後、Chiselを使ってOpenFire管理Webインターフェイスをローカルマシンにフォワーディングし、悪意のあるプラグインをOpenFireサービスにアップロードしました。このプラグインにより、「SYSTEM」ユーザーとしてシステムコマンドを実行できるようになり、ターゲットシステムに完全な制御権を獲得しました。

結論

このアーティクルでは、クラウドベースの環境における脆弱性を発見し、悪用するリアルワールドのハッキングシナリオを探索しました。初期の列挙と情報収集から最終的なシステム侵害まで、包括的なセキュリティ対策の重要性と、クラウドインフラのセキュリティ確保の必要性を示しました。

主なポイント:

  • 実行中のサービスと潜在的な攻撃ベクトルを識別するため、徹底的なネットワークスキャンを実行する
  • KerbruteやBloodhoundなどのツールを活用し、ユーザー資格情報と特権昇格の機会を発見する
  • 暗号化タイプとそのハッシング手法への影響を理解する
  • DCOM権限の制限と、その設定ミスによる潜在的な影響を理解する
  • クラウドサービスを対象とする最新の脆弱性と悪用手法に注目し続ける

これらのレッスンを理解し適用することで、クラウド環境のセキュリティを強化し、悪意あるアクターからの攻撃から組織を守ることができます。

上部へスクロール