Се­год­ня я покажу неоче­вид­ный трюк повыше­ния при­виле­гий: как, имея минималь­ные пра­ва, мож­но через уяз­вимость BadSuccessor (CVE-2025-53779) свя­зать свою dMSA с адми­нис­тра­тором и получить его клю­чи Kerberos. Перед этим прой­дем базовую цепоч­ку — дос­туп к MS SQL, извле­чение учет­ных дан­ных и вход по WinRM.

На­ша цель — получить пра­ва супер­поль­зовате­ля на машине Eighteen с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — лег­кий.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

На этот раз, помимо IP-адре­са машины, нам дают еще и учет­ные дан­ные поль­зовате­ля домена.

Информация о машине
Ин­форма­ция о машине

До­бав­ляем IP-адрес машины в /etc/hosts:

10.129.16.65 eighteen.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг в любой ата­ке. Оно поз­воля­ет зло­умыш­ленни­ку узнать, какие служ­бы на хос­те при­нима­ют соеди­нения. На осно­ве этой информа­ции он выбира­ет сле­дующий шаг, что­бы получить точ­ку вхо­да.

Са­мый извес­тный инс­тру­мент для ска­ниро­вания — Nmap. Улуч­шить резуль­таты его работы поможет сле­дующий скрипт:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он работа­ет в два эта­па. Сна­чала запус­кает­ся быс­трое ска­ниро­вание, затем — более тща­тель­ное, с помощью встро­енных скрип­тов (опция -A).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала. Осва­иваем раз­ведку и ска­ниро­вание сети».

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ска­нер нашел три откры­тых пор­та:

  • 80 — веб‑сер­вер Microsoft IIS 10.0;
  • 1433 — СУБД Microsoft SQL Server;
  • 5985 — WinRM.
 

Точка входа

Так как в этот раз нам дали учет­ные дан­ные, про­верим их в двух дос­тупных служ­бах — MS SQL и WinRM. Это мож­но сде­лать с помощью ути­литы NetExec.

nxc mssql eighteen.htb -u kevin -p 'iNa2we6haRj2gaw!' --local-auth
nxc winrm eighteen.htb -u kevin -p 'iNa2we6haRj2gaw!'
Результат проверки учетных данных
Ре­зуль­тат про­вер­ки учет­ных дан­ных

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии