LFI

Flight est une machine Windows de difficulté hard qui démarre avec un site Web avec deux hôtes virtuels différents. L’un d’eux est vulnérable à une LFI et permet à un attaquant de récupérer un hachage NTLM. Une fois craqué, le mot de passe en clair peut être utilisé dans une attaque par password spraying sur une liste de noms d’utilisateur valides pour découvrir une réutilisation du mot de passe. Une fois que l’attaquant dispose d’un accès SMB en tant qu’utilisateur « s.moon », il peut écrire sur un partage auquel d’autres utilisateurs ont accès. Certains fichiers peuvent être utilisés pour voler le hachage NTLMv2 des utilisateurs qui accèdent au partage. Une fois le deuxième hachage craqué, l’attaquant pourra écrire un reverse shell dans un partage qui héberge les fichiers Web et obtenir un shell sur la box en tant qu’utilisateur à faible privilèges. Ayant les informations d’identification pour l’utilisateur « c.bum », il sera possible d’obtenir un shell en tant que ce dernier, ce qui permettra à l’attaquant d’écrire un web shell « .aspx » sur un site web configuré pour écouter uniquement sur localhost. Une fois que l’attaquant a exécuté la commande en tant que « IIS APPPOOL\DefaultAppPool », il peut exécuter Rubeus pour obtenir un ticket pour le compte de la machine qui peut être utilisé pour effectuer une attaque DCSync, obtenant finalement les hachages pour l’utilisateur administrateur.