Се­год­ня я покажу, как может выг­лядеть ата­ка на сайт на плат­форме Blazor. Мы сге­нери­руем токен JWT адми­нис­тра­тора, затем через SQL-инъ­екцию в MS SQL получим сес­сию на сер­вере. И под конец про­экс­плу­ати­руем цепоч­ку раз­решений на атри­буты SPN и ScriptPath учет­ных записей поль­зовате­лей для прод­вижения к адми­нис­тра­тору домена и ком­про­мета­ции все­го домена.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине Blazorized с учеб­ной пло­щад­ки Hack The Box. Уро­вень слож­ности задания — сред­ний.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.22 blazorized.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Скрипт нашел мно­го откры­тых пор­тов:

  • 80 (HTTP) — веб‑сер­вер Microsoft IIS/10.0;
  • 88 — Kerberos;
  • 135 — Microsoft RPC;
  • 139 — NetBIOS, NetLogon;
  • 389 — LDAP;
  • 445 — SMB;
  • 464 — служ­ба сме­ны пароля Kerberos;
  • 593 (HTTP-RPC-EPMAP) — исполь­зует­ся в служ­бах DCOM и MS Exchange;
  • 636 — LDAP с шиф­ровани­ем SSL или TLS;
  • 1433 — MS SQL Server 2022;
  • 3268 (LDAP) — для дос­тупа к Global Catalog от кли­ента к кон­трол­леру;
  • 3269 (LDAPS) — для дос­тупа к Global Catalog от кли­ента к кон­трол­леру через защищен­ное соеди­нение;
  • 5985 — WinRM;
  • 9389 — веб‑служ­бы AD DS.

Без учет­ных дан­ных ничего, кро­ме сай­та, не дос­тупно.

Главная страница сайта
Глав­ная стра­ница сай­та

Хоть мы и заг­рузили все­го одну стра­ницу, в Burp History мож­но уви­деть заг­рузку мно­жес­тва DLL-биб­лиотек.

Burp History
Burp History

Это очень харак­терно для веб‑плат­формы Blazor.

 

Точка входа

Прой­дем­ся по стра­ницам на сай­те, а затем сно­ва про­верим Burp History.

Burp History
Burp History

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии