HTB Driver. Эксплуатируем PrintNightmare и делаем вредоносный SCF
Содержание статьи
- Разведка. Сканирование портов
- Точка входа
- Утечка хеша NTLM
- Локальное повышение привилегий
Сегодня мы с тобой разберем уязвимость PrintNightmare, которая позволяет повысить привилегии в Windows через баг в системе печати (CVE-2021-1675). Также мы сделаем вредоносный файл SCF, который поможет нам получить NTLM-хеш пароля пользователя.
Все это — чтобы пройти простую по уровню сложности машину Driver с площадки Hack The Box.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка. Сканирование портов
Для удобства добавляем IP-адрес машины в /etc/hosts
:
10.10.11.106 driver.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта.
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A
).
Результат работы скрипта
Находим четыре открытых порта:
- 80 (HTTP) — веб‑сервер Microsoft IIS/10.0;
- 135 — служба удаленного вызова процедур (Microsoft RPC). Используется для операций контроллер — контроллер и контроллер — клиент;
- 445 — служба SMB;
- 5985 — этот порт отвечает за службу удаленного управления WinRM.
Первым делом я попытался бегло взглянуть на SMB. Целью было понять, что эта служба может дать. Узнать это можно короткой командой smbmap -H driver.htb
, на что получим однозначный ответ — [!] Authentication error on driver.htb
. Значит, SMB можно пока пропустить — без авторизации здесь ловить нечего. С WinRM на данном этапе нам может помочь только брут, а при решении машин с HTB это не комильфо. Так что идем смотреть веб.
Запрос учетных данных
Недолго думая, вводим несколько распространенных сочетаний дефолтных логинов и паролей. Первое же сочетание admin
:admin
открывает нам главную страницу сайта.
Главная страница сайта
После осмотра сайта останавливаемся на единственной «живой» странице Firmware Updates, на которой есть форма загрузки файла.
Страница Firmware Updates
Точка входа
Первым делом я попытался загрузить исполняемые файлы .exe, но это не принесло ровным счетом ничего. Но есть и другие форматы файлов, которые позволят выполнить определенные операции, хоть их и ограниченное количество. Один из таких форматов — SCF (shell command files). Файлы SCF можно использовать для операций вроде «Свернуть все окна» или «Открыть проводник Windows». А еще файл SCF может использоваться для доступа к определенному пути UNC, что может привести к утечке пользовательского хеша NetNTLMv2. Это произойдет, потому что Windows попытается аутентифицироваться на этом общем ресурсе, используя имя и пароль пользователя.
Источник: xakep.ru