HTB Investigation. Ищем секреты в журнале безопасности Windows

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Точка опоры
• Продвижение
• Локальное повышение привилегий

В этом рай­тапе я покажу, как экс­плу­ати­ровать RCE в популяр­ной прог­рамме exiftool, затем мы получим жур­нал безопас­ности Windows и про­ана­лизи­руем логи. При повыше­нии при­виле­гий раз­ревер­сим прос­тень­кий ELF-файл.

Зах­ватывать мы будем тре­ниро­воч­ную машину Investigation с пло­щад­ки Hack The Box. Ее уро­вень слож­ности — сред­ний.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.197 investigation.htb


И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

По резуль­татам ска­ниро­вания име­ем все­го три откры­тых пор­та:

• 22 — служ­ба OpenSSH 8.2p1;
• 80 — веб‑сер­вер Apache 2.4.41;
• 1234 — веб‑сер­вер Python 3.8.10.

На SSH идти нет смыс­ла, порт 1234, видимо, был открыт дру­гим игро­ком, что­бы ска­чивать с сер­вера фай­лы, поэто­му оста­ется идти толь­ко на веб‑сер­вер на 80-м пор­те. А там, как отра­жено в http-title, выпол­няет­ся редирект на http://eforenzics.htb. Добав­ляем этот домен в /etc/hosts и смот­рим сайт.

10.10.11.197 investigation.htb eforenzics.htb


Глав­ная стра­ница сай­та 

Точка входа

На сай­те находим сер­вис для ана­лиза изоб­ражения и фор­му для заг­рузки ана­лизи­руемо­го фай­ла.

Стра­ница заг­рузки фай­ла

При попыт­ке заг­рузить какой‑нибудь отличный от изоб­ражений фор­мат получа­ем ошиб­ку, то есть сра­зу заг­рузить PHP-шелл не вый­дет. Тог­да заг­ружа­ем кар­тинку в PNG и получа­ем ссыл­ку на готовый отчет.

Ре­зуль­тат заг­рузки фай­ла

От­чет пред­став­ляет собой обыч­ный вывод прог­раммы exiftool.

Ре­зуль­тат ана­лиза фай­ла

Од­нако мы узна­ли вер­сию прог­раммы — 12.37. Это уже неп­лохая зацеп­ка.

Точка опоры

Источник: xakep.ru