Содержание статьи
Наша цель — получение прав суперпользователя на машине SolarLab с учебной площадки Hack The Box. Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /
:
10.10.11.16 solarlab.htb
И запускаем сканирование портов.
По результатам сканирования имеем несколько открытых портов, типичных для систем Windows:
- 80 и 6791 (HTTP) — веб‑сервер Nginx 1.24.0;
- 135 — служба удаленного вызова процедур (Microsoft RPC). Используется для операций взаимодействия контроллер — контроллер и контроллер — клиент;
- 139 — служба сеансов NetBIOS, NetLogon;
- 445 — SMB.
По логу видно, что с порта 6791 выполняется редирект на домен report.
. Сразу добавим запись в файл /
.
10.10.11.16 solarlab.htb report.solarlab.htb
Точка входа
Первым делом проверяем, разрешен ли вход от имени гостевой учетной записи по SMB.
nxc smb 10.10.11.16 -u guest -p ''
Так как аутентификация прошла успешно, мы можем просмотреть общие каталоги SMB. Чаще всего аутентификация для анонима включается именно для доступа к каким‑то общим ресурсам.
nxc smb 10.10.11.16 -u guest -p '' --shares
Также мы можем пробрутить RID объектов, таких как пользователи и группы.
nxc smb 10.10.11.16 -u guest -p '' --rid-brute
Теперь вернемся к общим каталогам. Нам доступен для чтения каталог Documents
, в котором могут быть важные данные.
smbclient.py ./guest:''@10.10.11.16
use Documents
Из Documents
забираем документы XLSX и DOCX. Еще два документа забираем из вложенного каталога concepts
.
В документах полезной информации найти не удалось, а вот в таблице есть списки учетных данных для разных ресурсов.
К SMB эти учетные данные не подошли, поэтому наконец переходим к вебу. Сайт на 80-м порте больше напоминает визитку. Зато на нем мы находим список пользователей, которые были в таблице.
На порте 6791 нас встречает форма авторизации.
Точка опоры
В таблице представлено несколько вариантов имени пользователя, поэтому для раскрытых юзеров составляем список с логинами и почтами и отдельно выписываем из таблицы пароли. А затем пробрутим их в форме авторизации на ReportHub с использованием Burp Intruder.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее