В этом рай­тапе я покажу, как получить шелл и рас­шифро­вать учет­ные дан­ные из сер­виса OpenFire. Но преж­де про­ник­нем на сер­вер, работа­ющий на Windows, путем экс­плу­ата­ции уяз­вимос­ти в биб­лиоте­ке ReportLab.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине SolarLab с учеб­ной пло­щад­ки Hack The Box. Уро­вень слож­ности задания — сред­ний.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.16 solarlab.htb

И запус­каем ска­ниро­вание пор­тов.

Результат работы скрипта
Ре­зуль­тат работы скрип­та

По резуль­татам ска­ниро­вания име­ем нес­коль­ко откры­тых пор­тов, типич­ных для сис­тем Windows:

  • 80 и 6791 (HTTP) — веб‑сер­вер Nginx 1.24.0;
  • 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC). Исполь­зует­ся для опе­раций вза­имо­дей­ствия кон­трол­лер — кон­трол­лер и кон­трол­лер — кли­ент;
  • 139 — служ­ба сеан­сов NetBIOS, NetLogon;
  • 445 — SMB.

По логу вид­но, что с пор­та 6791 выпол­няет­ся редирект на домен report.solarlab.htb. Сра­зу добавим запись в файл /etc/hosts.

10.10.11.16 solarlab.htb report.solarlab.htb
 

Точка входа

Пер­вым делом про­веря­ем, раз­решен ли вход от име­ни гос­тевой учет­ной записи по SMB.

nxc smb 10.10.11.16 -u guest -p ''
Аутентификация от имени гостя
Аутен­тифика­ция от име­ни гос­тя

Так как аутен­тифика­ция прош­ла успешно, мы можем прос­мотреть общие катало­ги SMB. Чаще все­го аутен­тифика­ция для ано­нима вклю­чает­ся имен­но для дос­тупа к каким‑то общим ресур­сам.

nxc smb 10.10.11.16 -u guest -p '' --shares
Общие ресурсы SMB
Об­щие ресур­сы SMB

Так­же мы можем проб­рутить RID объ­ектов, таких как поль­зовате­ли и груп­пы.

nxc smb 10.10.11.16 -u guest -p '' --rid-brute
Список пользователей и групп
Спи­сок поль­зовате­лей и групп

Те­перь вер­немся к общим катало­гам. Нам дос­тупен для чте­ния каталог Documents, в котором могут быть важ­ные дан­ные.

smbclient.py ./guest:''@10.10.11.16
use Documents
Содержимое каталога Documents
Со­дер­жимое катало­га Documents

Из Documents забира­ем докумен­ты XLSX и DOCX. Еще два докумен­та забира­ем из вло­жен­ного катало­га concepts.

Содержимое каталога concepts
Со­дер­жимое катало­га concepts

В докумен­тах полез­ной информа­ции най­ти не уда­лось, а вот в таб­лице есть спис­ки учет­ных дан­ных для раз­ных ресур­сов.

Содержимое файла details-file.xlsx
Со­дер­жимое фай­ла details-file.xlsx

К SMB эти учет­ные дан­ные не подош­ли, поэто­му наконец перехо­дим к вебу. Сайт на 80-м пор­те боль­ше напоми­нает визит­ку. Зато на нем мы находим спи­сок поль­зовате­лей, которые были в таб­лице.

Главная страница сайта solarlab.htb
Глав­ная стра­ница сай­та solarlab.htb
Сотрудники организации
Сот­рудни­ки орга­низа­ции

На пор­те 6791 нас встре­чает фор­ма авто­риза­ции.

Страница авторизации на report.solarlab.htb:6791
Стра­ница авто­риза­ции на report.solarlab.htb:6791
 

Точка опоры

В таб­лице пред­став­лено нес­коль­ко вари­антов име­ни поль­зовате­ля, поэто­му для рас­кры­тых юзе­ров сос­тавля­ем спи­сок с логина­ми и поч­тами и отдель­но выписы­ваем из таб­лицы пароли. А затем проб­рутим их в фор­ме авто­риза­ции на ReportHub с исполь­зовани­ем Burp Intruder.

Burp Intruder — вкладка Positions
Burp Intruder — вклад­ка Positions
Burp Intruder — вкладка Payloads
Burp Intruder — вклад­ка Payloads
Burp Intruder — результат перебора
Burp Intruder — резуль­тат перебо­ра

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 2 комментария к записи HTB SolarLab. Повышаем привилегии через сервис OpenFire
    Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии