Содержание статьи
Наша цель — получение прав суперпользователя на машине Mailing с учебной площадки Hack The Box. Уровень задания — легкий.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /
:
10.10.11.14 mailing.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A
).
Сканер нашел много открытых портов, что нормально для серверов на Windows:
- 25 — hMailServer (почтовый сервер SMTP);
- 80 (HTTP) — веб‑сервер Microsoft IIS/10.0;
- 110 — hMailServer (почтовый сервер POP3);
- 135 — служба удаленного вызова процедур (Microsoft RPC). Используется для операций взаимодействия контроллер — контроллер и контроллер — клиент;
- 139 — служба сеансов NetBIOS, NetLogon;
- 143 — hMailServer (почтовый сервер IMAP);
- 445 — SMB;
- 587 — hMailServer (почтовый сервер SMTP SSL);
- 993 — hMailServer (почтовый сервер POP3 SSL);
- 5985 — служба удаленного управления WinRM.
На SMB ничего интересного нет, почтовая служба пока мало чем будет полезна, поэтому идем смотреть веб‑сервер.
Сразу отмечаем на главной странице ссылку на какую‑то инструкцию.
Точка входа
Инструкция очень большая, но в ней никаких учетных данных. Однако из нее мы узнаём почтовый адрес maya@mailing.
, а также то, что используется почтовый клиент Outlook.
Здесь явно предполагается вектор фишинга, но у нас пока что нет никаких учетных данных, а значит, поищем другие пути для продвижения. Обратим внимание на способ скачивания инструкции. Подробности можно посмотреть в Burp History.
Имя файла передается в параметре file
, а это значит, что тут может быть уязвимость LFI, позволяющая просматривать другие файлы в системе. Давай переберем возможные пути через Burp Intruder. В качестве целевого файла будем использовать всегда и всем доступный для чтения /
.
Фильтруем результат и видим в запросах содержимое файла, а значит, есть LFI.
Точка опоры
Чтобы проверять какие‑то системные файлы, нам может не хватать привилегий, поэтому работаем с тем, что есть, а именно с hMailServer, который мы видели, сканируя порты. После поиска информации в интернете я нашел на «Дзене» русскоязычную статью по администрированию hMailServer. В статье приведен путь к файлу с настройками, а также его примерное содержимое. Меня очень заинтересовали строки с паролями.
Прочитаем настройки на удаленном сервере через Burp Repeater:
C:\Program+Files+(x86)\hMailServer\Bin\hMailServer.INI
Строка в параметре AdministratorPassword
— это наверняка хеш пароля, а не сам пароль. Отдадим его hashcat.
hashcat 841bb5acfa6779ae432fd7a4e6600ba7 rockyou.txt
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее