Следующая новость
Предыдущая новость

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration

15.03.2021 15:22
HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration

Содержание статьи

  • Разведка
  • Сканирование портов
  • Перебор каталогов
  • OSINT
  • Точка входа
  • Брутфорс OWA
  • Похищение хеша NetNTLMv2
  • Продвижение
  • WS-Management
  • Just Enough Administration (JEA)
  • Credentials dumping
  • Повышение привилегий
  • Credentials dumping
  • Обратный шелл на PHP
  • Порт-форвардинг
  • Шелл через БД

В этой статье я покажу, как прой­ти машину Reel2 с пло­щад­ки HackTheBox, и на ее при­мере мы поз­накомим­ся с век­торами ата­ки на Outlook Web App, научим­ся генери­ровать спи­сок паролей из инфы о поль­зовате­лей, порабо­таем с WS-Management и поищем уяз­вимос­ти в нас­трой­ках Just Enough Administration (JEA). Заод­но я покажу, как собирать учет­ные дан­ные на хос­те, перенап­равлять тра­фик при­ложе­ния и делать шелл с помощью базы дан­ных.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

Ма­шина Reel2 име­ет IP-адрес 10.10.10.210 — я добав­лю его в /etc/hosts, что­бы мож­но было обра­щать­ся к хос­ту по име­ни.

10.10.10.210 reel2.htb

Лю­бая ата­ка начина­ется со ска­ниро­вания откры­тых на хос­те пор­тов. Это необ­ходимо для того, что­бы узнать, какие служ­бы при­нима­ют соеди­нение. Исхо­дя из получен­ной информа­ции, мы будем выбирать путь для получе­ния точ­ки вхо­да и опо­ры. Я это делаю с помощью сле­дующе­го скрип­та, который исполь­зует ути­литу Nmap и при­нима­ет один аргу­мент — адрес ска­ниру­емо­го хос­та. Сна­чала он выпол­няет быс­трое ска­ниро­вание пор­тов, затем ска­ниру­ет най­ден­ные пор­ты с исполь­зовани­ем име­ющих­ся скрип­тов.

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Ре­зуль­тат работы скрип­та

В резуль­тате ска­ниро­вания име­ем сле­дующий спи­сок откры­тых пор­тов:

  • порт 80 — веб‑сер­вер Microsoft IIS 8.5;
  • порт 443 — обыч­но еще один порт веб‑сер­вера, но с исполь­зовани­ем SSL;
  • порт 5985 — этот порт отве­чает за служ­бу уда­лен­ного управле­ния WinRM;
  • пор­ты 6001...6021 — не инте­ресу­ют;
  • порт 8080 — веб‑сер­вер Apache.

Ес­тес­твен­но, начина­ем с веб‑сер­вера. Так, при обра­щении к кор­невому катало­гу веб‑сер­вера нас встре­чает стар­товая стра­ница IIS.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Стар­товая стра­ница Microsoft IIS

Перебор каталогов

У IIS есть нес­коль­ко дефол­тных катало­гов (к при­меру, /owa — Microsoft Outlook), но все рав­но сто­ит прос­каниро­вать дос­тупные катало­ги. Для это­го мож­но исполь­зовать широко извес­тные прог­раммы dirsearch и DIRB, но я обыч­но исполь­зую более быс­трый gobuster. При запус­ке исполь­зуем сле­дующие парамет­ры:

  • dir — ска­ниро­вание дирек­торий и фай­лов;
  • -k — не про­верять SSL-сер­тификат;
  • -t [] — количес­тво потоков;
  • -u [] — URL-адрес для ска­ниро­вания;
  • -x [] — инте­ресу­ющие рас­ширения фай­лов, перечис­ленные через запятую;
  • -w [] — сло­варь для перебо­ра;
  • —timeout [] — вре­мя ожи­дания отве­та.

gobuster dir -t 128 -u https://reel2.htb/ -k -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,php,aspx --timeout 30s

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Об­наружен­ные под­катало­ги и фай­лы на https://reel2.htb

В резуль­тате находим каталог owa.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Па­нель авто­риза­ции Outlook Web App

На IIS мы наш­ли все что мог­ли, а так как поль­зователь­ских веб‑при­ложе­ний не обна­руже­но, то перехо­дим на веб‑сер­вер Apache.

OSINT

Порт 8080 вызыва­ет боль­ший инте­рес, так как на этом сай­те мы можем зарегис­три­ровать­ся, а это даст дос­туп к допол­нитель­ным фун­кци­ям.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Па­нель авто­риза­ции Wallstant

Да­же если сайт не име­ет никаких уяз­вимос­тей, он может содер­жать полез­ную информа­цию. Нап­ример, име­на поль­зовате­лей, исполь­зуемые тех­нологии, кос­венную информа­цию для сос­тавле­ния спис­ка паролей. Поэто­му сра­зу пос­ле регис­тра­ции и авто­риза­ции оста­нав­лива­емся на поль­зовате­лях.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
До­маш­няя стра­ница авто­ризо­ван­ного поль­зовате­ля

Най­ти век­тор для даль­нейшей ата­ки было тяжело, поэто­му я решил переб­рать учет­ные дан­ные Outlook. Для сос­тавле­ния спис­ка паролей исполь­зуем всю кос­венную информа­цию. У поль­зовате­ля sven дан­ных боль­ше, чем у дру­гих.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Про­филь поль­зовате­ля sven

Соз­дадим для него спи­сок воз­можных логинов. Ком­бинируя все воз­можные сочета­ния име­ни Sven Svensson, мы можем соз­дать сле­дующий спи­сок.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Спи­сок имен учет­ных записей

Для соз­дания паролей я поп­робовал ути­литу bopscrk. Суть прог­рамм такого рода в том, что мы скар­мли­ваем им раз­ные сло­вари, пос­ледова­тель­нос­ти сим­волов или даже пра­вила сос­тавле­ния паролей, а они генери­руют сло­варь для бру­та. Как вид­но на скрин­шоте ниже, я ука­зал зна­чение сле­дующих парамет­ров:

  • ми­нималь­ная дли­на пароля — 6;
  • пер­вое имя — sven;
  • вто­рое имя — svensson;
  • ре­леван­тные сло­ва через запятую — this, 2020, summer, hot;
  • ис­поль­зовать leet-транс­крип­цию (ког­да, к при­меру, бук­ва е заменя­ется на циф­ру 3, g — на 9 и так далее) — отка­зыва­емся;
  • ис­поль­зовать транс­крип­цию в раз­ных регис­трах — да;
  • ко­личес­тво слов для ком­биниро­вания — 3.

В ито­ге мы получа­ем сло­варь, содер­жащий 9204 вари­анта пароля!

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Ре­зуль­тат работы ути­литы bopscrk

В резуль­тате мы получи­ли два фай­ла для перебо­ра учет­ных дан­ных поль­зовате­ля — с логина­ми и с пароля­ми.

Точка входа

Брутфорс OWA

Ес­ли не зна­ешь, что исполь­зовать для бру­та, бери на замет­ку отличное средс­тво — SprayingToolkit. Этот тул­кит вклю­чает в себя нес­коль­ко модулей. Нам нужен модуль Atomizer, который исполь­зует­ся для бру­та Lync, OWA и IMAP. Запус­каем со сле­дующи­ми парамет­рами:

  • owa — для перебо­ра Outlook Web App;
  • reel2.htb — кор­невой для катало­га /owa адрес;
  • ~/tmp/bopscrk/tmp.txt — спи­сок паролей;
  • ~/tmp/user.txt — спи­сок логинов;
  • -i [H:M:S] — вре­мен­ной интервал меж­ду зап­росами;
  • -t [] — количес­тво потоков.

python3 atomizer.py owa reel2.htb ~/tmp/bopscrk/tmp.txt ~/tmp/user.txt -i 0:0:1 -t 64

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Ре­зуль­тат работы ути­литы automizer

Пе­ребор занима­ет некото­рое вре­мя, но все же находим вер­ную пару учет­ных дан­ных. Automizer сох­ранит все най­ден­ные учет­ные дан­ные в файл owa_valid_accounts.txt.

HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration
Outlook Web App пос­ле успешной авто­риза­ции

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

1 год

9300 р.

1 месяц

870 р.

Я уже участник «Xakep.ru»

Источник

Последние новости