В этом рай­тапе я покажу, как одновре­мен­но с фишин­гом экс­плу­ати­ровать недав­ний баг в Outlook (CVE-2024-21413), поз­воля­ющий получить хеш пароля поль­зовате­ля. Но сна­чала исполь­зуем LFI, что­бы добыть дан­ные сер­висной учет­ки. При повыше­нии при­виле­гий про­экс­плу­ати­руем уяз­вимость в LibreOffice.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине Mailing с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — лег­кий.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.14 mailing.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ска­нер нашел мно­го откры­тых пор­тов, что нор­маль­но для сер­веров на Windows:

  • 25 — hMailServer (поч­товый сер­вер SMTP);
  • 80 (HTTP) — веб‑сер­вер Microsoft IIS/10.0;
  • 110 — hMailServer (поч­товый сер­вер POP3);
  • 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC). Исполь­зует­ся для опе­раций вза­имо­дей­ствия кон­трол­лер — кон­трол­лер и кон­трол­лер — кли­ент;
  • 139 — служ­ба сеан­сов NetBIOS, NetLogon;
  • 143 — hMailServer (поч­товый сер­вер IMAP);
  • 445 — SMB;
  • 587 — hMailServer (поч­товый сер­вер SMTP SSL);
  • 993 — hMailServer (поч­товый сер­вер POP3 SSL);
  • 5985 — служ­ба уда­лен­ного управле­ния WinRM.

На SMB ничего инте­рес­ного нет, поч­товая служ­ба пока мало чем будет полез­на, поэто­му идем смот­реть веб‑сер­вер.

Главная страница сайта
Глав­ная стра­ница сай­та

Сра­зу отме­чаем на глав­ной стра­нице ссыл­ку на какую‑то инс­трук­цию.

 

Точка входа

Инс­трук­ция очень боль­шая, но в ней никаких учет­ных дан­ных. Одна­ко из нее мы узна­ём поч­товый адрес maya@mailing.htb, а так­же то, что исполь­зует­ся поч­товый кли­ент Outlook.

Скриншот из инструкции
Скрин­шот из инс­трук­ции

Здесь явно пред­полага­ется век­тор фишин­га, но у нас пока что нет никаких учет­ных дан­ных, а зна­чит, поищем дру­гие пути для прод­вижения. Обра­тим вни­мание на спо­соб ска­чива­ния инс­трук­ции. Под­робнос­ти мож­но пос­мотреть в Burp History.

Запрос в Burp History
Зап­рос в Burp History

Имя фай­ла переда­ется в парамет­ре file, а это зна­чит, что тут может быть уяз­вимость LFI, поз­воля­ющая прос­матри­вать дру­гие фай­лы в сис­теме. Давай перебе­рем воз­можные пути через Burp Intruder. В качес­тве целево­го фай­ла будем исполь­зовать всег­да и всем дос­тупный для чте­ния /Windows/System32/drivers/etc/hosts.

Burp Intruder — вкладка Positions
Burp Intruder — вклад­ка Positions
Burp Intruder — вкладка Results
Burp Intruder — вклад­ка Results

Филь­тру­ем резуль­тат и видим в зап­росах содер­жимое фай­ла, а зна­чит, есть LFI.

 

Точка опоры

Что­бы про­верять какие‑то сис­темные фай­лы, нам может не хва­тать при­виле­гий, поэто­му работа­ем с тем, что есть, а имен­но с hMailServer, который мы видели, ска­нируя пор­ты. Пос­ле поис­ка информа­ции в интерне­те я нашел на «Дзе­не» рус­ско­языч­ную статью по адми­нис­три­рова­нию hMailServer. В статье при­веден путь к фай­лу с нас­трой­ками, а так­же его при­мер­ное содер­жимое. Меня очень заин­тересо­вали стро­ки с пароля­ми.

Скриншот из статьи
Скрин­шот из статьи

Про­чита­ем нас­трой­ки на уда­лен­ном сер­вере через Burp Repeater:

C:\Program+Files+(x86)\hMailServer\Bin\hMailServer.INI
Файл конфигураций hMailServer
Файл кон­фигура­ций hMailServer

Стро­ка в парамет­ре AdministratorPassword — это навер­няка хеш пароля, а не сам пароль. Отда­дим его hashcat.

hashcat 841bb5acfa6779ae432fd7a4e6600ba7 rockyou.txt
Список алгоритмов хеширования
Спи­сок алго­рит­мов хеширо­вания

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии