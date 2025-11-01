Содержание статьи
Наша конечная цель — получение прав суперпользователя на машине Voleur с учебной площадки Hack The Box. Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в
/:
10.10.11.76 voleur.htb
Кроме IP машины, нам известны учетные данные пользователя домена.
Запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция
-A).
Сканер нашел 12 открытых портов:
- 88 — Kerberos;
- 135 — Microsoft RPC;
- 139 — служба сеансов NetBIOS, NetLogon;
- 389 — LDAP;
- 445 — SMB;
- 464 — служба смены пароля Kerberos;
- 593 (HTTP-RPC-EPMAP) — используется в службах DCOM и MS Exchange;
- 636 — LDAP с шифрованием SSL или TLS;
- 2222 — сервер OpenSSH;
- 3268 (LDAP) — для доступа к Global Catalog от клиента к контроллеру;
- 3269 (LDAPS) — для доступа к Global Catalog от клиента к контроллеру через защищенное соединение;
- 5985 — WinRM.
Точка входа
Проверим выданные нам учетные данные с помощью NetExec.
nxc smb 10.10.11.76 -u ryan.naylor -p HollowOct31Nyt
В ответе получаем ошибку
STATUS_NOT_SUPPORTED, а значит, будем использовать аутентификацию Kerberos. Для этого обновим файл
/ и добавим туда новый поддомен.
10.10.11.76 voleur.htb dc.voleur.htb
Теперь можно обратиться к LDAP и запросить список пользователей. Иногда в описании учетных записей можно найти полезную информацию.
faketime -f '+8h' nxc ldap 10.10.11.76 -u ryan.naylor -p HollowOct31Nyt -k
Аутентификация пройдена, теперь просмотрим список общих каталогов SMB.
faketime -f '+8h' nxc smb dc.voleur.htb -u ryan.naylor -p HollowOct31Nyt -k --shares
Нам доступен для чтения каталог
IT; вероятно, там есть что‑то полезное. Используем smbclient-ng, чтобы подключиться к общему каталогу и посмотреть файлы. На сервере находим только один документ XLSX, который скачиваем на свою машину.
faketime -f '+8h' smbclientng -d voleur.htb --host dc.voleur.htb -u ryan.naylor -p HollowOct31Nyt -k --kdcHost dc.voleur.htb
Получить данные из таблицы мы не можем, так как документ защищен паролем.
Получим из файла хеш для подбора пароля. Сделать это можно скриптом file-office2john.
А теперь подберем пароль к документу с помощью John the Ripper, это происходит очень быстро.
john --wordlist=rockyou.txt hash.txt
Открываем документ и видим там несколько пар учетных данных.
Точка опоры
Список пользователей сохраняем в файл, после чего проверяем найденные пароль и другие учетные данные.
faketime -f '+8h' nxc ldap 10.10.11.76 -u users.txt -p NightT1meP1dg3on14 -kfaketime -f '+8h' nxc ldap 10.10.11.76 -u svc_ldap -p M1XyC9pW7qT5Vn -kfaketime -f '+8h' nxc ldap 10.10.11.76 -u svc_iis -p N5pXyW1VqM7CZ8 -k
