HTB Monitored. Получаем доступ в систему через Nagios XI

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Точка опоры
• Продвижение
• Локальное повышение привилегий

В этом рай­тапе мы порабо­таем с API сис­темы монито­рин­га Nagios XI, про­экс­плу­ати­руем SQL-инъ­екцию, соз­дадим сво­его поль­зовате­ля и зло­упот­ребим воз­можнос­тями адми­на, что­бы получить дос­туп к опе­раци­онной сис­теме. Затем нес­ложным спо­собом повысим при­виле­гии в Linux.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине Monitored с учеб­ной пло­щад­ки Hack The Box. Уро­вень слож­ности задания — сред­ний.

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.248 monitored.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

Час­то я допол­нитель­но про­веряю порт UDP 161.

sudo nmap -p161 -sU 10.10.11.248

В этот раз он ока­зал­ся открыт.

Ре­зуль­тат ска­ниро­вания UDP-пор­тов

Ито­го ска­нер нашел шесть откры­тых пор­тов:

• 22 — служ­ба OpenSSH 8.4p1;
• 80 и 443 — веб‑сер­вер Apache 2.4.56;
• 389 — служ­ба LDAP;
• 5667 — неиз­вес­тный сер­вис;
• 161 (UDP) — служ­ба SNMP.

Так­же в выводе Nmap под­меча­ем редирект с пор­та 80 на адрес nagios.monitored.htb. Его тоже добав­ляем в /etc/hosts:

10.10.11.248 monitored.htb nagios.monitored.htb

Пос­коль­ку дос­тупна служ­ба SNMP, нач­нем имен­но с нее.

Точка входа

SNMP — прос­той про­токол управле­ния сетью. Он исполь­зует­ся для монито­рин­га устрой­ств в сети (нап­ример, мар­шру­тиза­торов, ком­мутато­ров, прин­теров).

Тут сле­дует сра­зу упо­мянуть два понятия:

• MIB (Management Information Base) — база дан­ных, хра­нящая информа­цию обо всех объ­ектах (парамет­рах и нас­трой­ках) устрой­ства;
• OID (Object Identifier) — чис­ловой иден­тифика­тор объ­екта в дереве MIB.

При работе с уда­лен­ной сис­темой по SNMP все зап­росы дела­ются по OID, который отра­жает положе­ние объ­екта в дереве объ­ектов MIB. Но что­бы получить всю информа­цию, нам сна­чала нуж­но прой­ти сво­еоб­разную аутен­тифика­цию, ука­зав иден­тифика­тор сооб­щес­тва. Так как мы ее не зна­ем, ее нуж­но переб­рать, к при­меру с помощью ути­литы onesixtyone. Переби­рать будем по сло­варю из набора SecLists.

onesixtyone -c /usr/share/seclists/Discovery/SNMP/common-snmp-community-strings.txt 10.10.11.248

Пе­ребор community-строк

В ито­ге наш­ли все­го одну community-стро­ку — public. Все OID сис­темы мож­но получить, прос­каниро­вав устрой­ство, нап­ример вот такой коман­дой:

snmpwalk -v 2c -c public 10.10.11.248

Дан­ные, получен­ные из сис­темы