Содержание статьи
Наша цель — получение прав суперпользователя на машине SolarLab с учебной площадки Hack The Box. Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /:
10.10.11.16 solarlab.htb
И запускаем сканирование портов.
По результатам сканирования имеем несколько открытых портов, типичных для систем Windows:
- 80 и 6791 (HTTP) — веб‑сервер Nginx 1.24.0;
- 135 — служба удаленного вызова процедур (Microsoft RPC). Используется для операций взаимодействия контроллер — контроллер и контроллер — клиент;
- 139 — служба сеансов NetBIOS, NetLogon;
- 445 — SMB.
По логу видно, что с порта 6791 выполняется редирект на домен report.. Сразу добавим запись в файл /.
10.10.11.16 solarlab.htb report.solarlab.htb
Точка входа
Первым делом проверяем, разрешен ли вход от имени гостевой учетной записи по SMB.
nxc smb 10.10.11.16 -u guest -p ''
Так как аутентификация прошла успешно, мы можем просмотреть общие каталоги SMB. Чаще всего аутентификация для анонима включается именно для доступа к каким‑то общим ресурсам.
nxc smb 10.10.11.16 -u guest -p '' --shares
Также мы можем пробрутить RID объектов, таких как пользователи и группы.
nxc smb 10.10.11.16 -u guest -p '' --rid-brute
Теперь вернемся к общим каталогам. Нам доступен для чтения каталог Documents, в котором могут быть важные данные.
smbclient.py ./guest:''@10.10.11.16
use Documents
Из Documents забираем документы XLSX и DOCX. Еще два документа забираем из вложенного каталога concepts.
В документах полезной информации найти не удалось, а вот в таблице есть списки учетных данных для разных ресурсов.
К SMB эти учетные данные не подошли, поэтому наконец переходим к вебу. Сайт на 80-м порте больше напоминает визитку. Зато на нем мы находим список пользователей, которые были в таблице.
На порте 6791 нас встречает форма авторизации.
Точка опоры
В таблице представлено несколько вариантов имени пользователя, поэтому для раскрытых юзеров составляем список с логинами и почтами и отдельно выписываем из таблицы пароли. А затем пробрутим их в форме авторизации на ReportHub с использованием Burp Intruder.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
