HTB Mailing. Эксплуатируем новый баг в почтовом клиенте Outlook

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Продвижение
Локальное повышение привилегий

В этом райтапе я покажу, как одновременно с фишингом эксплуатировать недавний баг в Outlook (CVE-2024-21413), позволяющий получить хеш пароля пользователя. Но сначала используем LFI, чтобы добыть данные сервисной учетки. При повышении привилегий проэксплуатируем уязвимость в LibreOffice.

Наша цель — получение прав суперпользователя на машине Mailing с учебной площадки Hack The Box. Уровень задания — легкий.

warning

Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.14 mailing.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Результат работы скрипта

Сканер нашел много открытых портов, что нормально для серверов на Windows:

25 — hMailServer (почтовый сервер SMTP);
80 (HTTP) — веб‑сервер Microsoft IIS/10.0;
110 — hMailServer (почтовый сервер POP3);
135 — служба удаленного вызова процедур (Microsoft RPC). Используется для операций взаимодействия контроллер — контроллер и контроллер — клиент;
139 — служба сеансов NetBIOS, NetLogon;
143 — hMailServer (почтовый сервер IMAP);
445 — SMB;
587 — hMailServer (почтовый сервер SMTP SSL);
993 — hMailServer (почтовый сервер POP3 SSL);
5985 — служба удаленного управления WinRM.

На SMB ничего интересного нет, почтовая служба пока мало чем будет полезна, поэтому идем смотреть веб‑сервер.

Главная страница сайта

Сразу отмечаем на главной странице ссылку на какую‑то инструкцию.

Точка входа

Инструкция очень большая, но в ней никаких учетных данных. Однако из нее мы узнаём почтовый адрес [email protected], а также то, что используется почтовый клиент Outlook.

Скриншот из инструкции

Здесь явно предполагается вектор фишинга, но у нас пока что нет никаких учетных данных, а значит, поищем другие пути для продвижения. Обратим внимание на способ скачивания инструкции. Подробности можно посмотреть в Burp History.

Запрос в Burp History

Имя файла передается в параметре file, а это значит, что тут может быть уязвимость LFI, позволяющая просматривать другие файлы в системе. Давай переберем возможные пути через Burp Intruder. В качестве целевого файла будем использовать всегда и всем доступный для чтения /Windows/System32/drivers/etc/hosts.

Burp Intruder — вкладка Positions

Burp Intruder — вкладка Results

Фильтруем результат и видим в запросах содержимое файла, а значит, есть LFI.

Точка опоры

Чтобы проверять какие‑то системные файлы, нам может не хватать привилегий, поэтому работаем с тем, что есть, а именно с hMailServer, который мы видели, сканируя порты. После поиска информации в интернете я нашел на «Дзене» русскоязычную статью по администрированию hMailServer. В статье приведен путь к файлу с настройками, а также его примерное содержимое. Меня очень заинтересовали строки с паролями.