Содержание статьи
- Разведка
- Сканирование портов
- Точка входа
- Точка опоры
- Продвижение
- Локальное повышение привилегий
В этом райтапе я покажу, как одновременно с фишингом эксплуатировать недавний баг в Outlook (CVE-2024-21413), позволяющий получить хеш пароля пользователя. Но сначала используем LFI, чтобы добыть данные сервисной учетки. При повышении привилегий проэксплуатируем уязвимость в LibreOffice.
Наша цель — получение прав суперпользователя на машине Mailing с учебной площадки Hack The Box. Уровень задания — легкий.
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.14 mailing.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел много открытых портов, что нормально для серверов на Windows:
- 25 — hMailServer (почтовый сервер SMTP);
- 80 (HTTP) — веб‑сервер Microsoft IIS/10.0;
- 110 — hMailServer (почтовый сервер POP3);
- 135 — служба удаленного вызова процедур (Microsoft RPC). Используется для операций взаимодействия контроллер — контроллер и контроллер — клиент;
- 139 — служба сеансов NetBIOS, NetLogon;
- 143 — hMailServer (почтовый сервер IMAP);
- 445 — SMB;
- 587 — hMailServer (почтовый сервер SMTP SSL);
- 993 — hMailServer (почтовый сервер POP3 SSL);
- 5985 — служба удаленного управления WinRM.
На SMB ничего интересного нет, почтовая служба пока мало чем будет полезна, поэтому идем смотреть веб‑сервер.
Главная страница сайта
Сразу отмечаем на главной странице ссылку на какую‑то инструкцию.
Точка входа
Скриншот из инструкции
Здесь явно предполагается вектор фишинга, но у нас пока что нет никаких учетных данных, а значит, поищем другие пути для продвижения. Обратим внимание на способ скачивания инструкции. Подробности можно посмотреть в Burp History.
Запрос в Burp History
Имя файла передается в параметре file, а это значит, что тут может быть уязвимость LFI, позволяющая просматривать другие файлы в системе. Давай переберем возможные пути через Burp Intruder. В качестве целевого файла будем использовать всегда и всем доступный для чтения /Windows/System32/drivers/etc/hosts.
Burp Intruder — вкладка Positions
Burp Intruder — вкладка Results
Фильтруем результат и видим в запросах содержимое файла, а значит, есть LFI.
Точка опоры
Чтобы проверять какие‑то системные файлы, нам может не хватать привилегий, поэтому работаем с тем, что есть, а именно с hMailServer, который мы видели, сканируя порты. После поиска информации в интернете я нашел на «Дзене» русскоязычную статью по администрированию hMailServer. В статье приведен путь к файлу с настройками, а также его примерное содержимое. Меня очень заинтересовали строки с паролями.
Прочитаем настройки на удаленном сервере через Burp Repeater:
C:Program+Files+(x86)hMailServerBinhMailServer.INI
Файл конфигураций hMailServer
Строка в параметре AdministratorPassword — это наверняка хеш пароля, а не сам пароль. Отдадим его hashcat.
hashcat 841bb5acfa6779ae432fd7a4e6600ba7 rockyou.txt
Список алгоритмов хеширования