HTB Pit. Находим и эксплуатируем службу SNMP

Разведка

Сканирование портов

До­бав­ляем IP машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Ви­дим три откры­тых пор­та: 22 (служ­ба SSH), 80 (веб‑сер­вер nginx 1.14.1) и 9090 (тоже веб‑сер­вер). Начина­ем с веба, пос­коль­ку на SSH без учет­ки обыч­но делать нечего, а брут­форсом машины с HTB не про­ходят­ся.

Но на http://pit.htb/ нас встре­чает стра­ница nginx, а на пор­те 9090 — фор­ма авто­риза­ции CentOS Linux. Как вид­но из ска­на Nmap, на пор­те 9090 мы можем получить еще одно домен­ное имя — dms-pit.htb (поле сер­тифика­та commonName). Закиды­ваем и этот домен в /etc/hosts.

Гля­нем, что там.

Увы, ничего осо­бен­но весело­го — нас встре­чает ошиб­ка 403.

Но и это нам не помога­ет, никако­го кон­тента мы не находим. Тог­да я решил сос­тавить кар­ту единс­твен­ного дос­тупно­го нам сай­та, за который отве­чает порт 9090. Перех­ватыва­ем зап­рос в Burp Proxy и в кон­текс­тном меню выбира­ем Engagement tools → Discover content. Ука­зыва­ем глу­бину ска­ниро­вания, инте­ресу­ющие нас рас­ширения фай­лов и бэкапов. Спус­тя некото­рое вре­мя мы получим кар­ту сай­та.

То­же ничего инте­рес­ного, но зато мы узна­ли, что исполь­зует­ся Cockpit. В этой CMS был най­ден экс­пло­ит, при­водя­щий к RCE, но у меня он не отра­ботал. Я даже рас­терял­ся, неуже­ли нуж­но реаль­но бру­тить SSH?! Но в моем чек‑лис­те еще оста­валась неот­мечен­ной гра­фа ска­ниро­вания пор­тов UDP...

Точка входа

Сканирование SNMP

За­пус­каем ска­ниро­вание наибо­лее веро­ятных пор­тов UDP:

В резуль­тате находим служ­бу SNMP на пор­те 161. SNMP — это прос­той про­токол управле­ния сетью, исполь­зуемый для монито­рин­га устрой­ств (нап­ример, мар­шру­тиза­торов, ком­мутато­ров, прин­теров). Тут сле­дует сра­зу объ­яснить два важ­ных понятия:

• MIB (Management Information Base) — база дан­ных информа­ции управле­ния, хра­нящая информа­цию обо всех объ­ектах (парамет­рах и нас­трой­ках) устрой­ства;
• OID (Object IDentifier) — чис­ловой иден­тифика­тор объ­екта в дереве MIB.

При работе с уда­лен­ной сис­темой по SNMP все зап­росы про­исхо­дят через OID, отра­жающий положе­ние объ­екта в дереве объ­ектов MIB. Но что­бы получить все стро­ки, нам сна­чала нуж­но прой­ти сво­еоб­разную аутен­тифика­цию, ука­зав стро­ку‑иден­тифика­тор сооб­щес­тва. Но так как мы ее не зна­ем, ее нуж­но переб­рать, к при­меру с помощью hydra. Переби­рать будем по сло­варю из набора Seclists.

Все OID сис­темы мож­но получить, прос­каниро­вав устрой­ство сле­дующей коман­дой:

Мы видим некото­рую слу­жеб­ную информа­цию, получа­ем некото­рые пути (сре­ди них — дирек­тория веб‑сер­вера /var/www/html/), рас­пре­деле­ние памяти и спи­сок сущес­тву­ющих поль­зовате­лей. А путь /var/www/html/seeddms51x/seeddms дает нам знать о соот­ветс­тву­ющем пути на веб‑сер­вере: http://dms-pit.htb/seeddms51x/seeddms.

Нас встре­чает фор­ма авто­риза­ции SeedDMS.