Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
В этой статье я покажу, как пройти машину Reel2 с площадки HackTheBox, и на ее примере мы познакомимся с векторами атаки на Outlook Web App, научимся генерировать список паролей из инфы о пользователей, поработаем с WS-Management и поищем уязвимости в настройках Just Enough Administration (JEA). Заодно я покажу, как собирать учетные данные на хосте, перенаправлять трафик приложения и делать шелл с помощью базы данных.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Машина Reel2 имеет IP-адрес 10.10.10.210 — я добавлю его в /etc/hosts
, чтобы можно было обращаться к хосту по имени.
10.10.10.210 reel2.htb
Любая атака начинается со сканирования открытых на хосте портов. Это необходимо для того, чтобы узнать, какие службы принимают соединение. Исходя из полученной информации, мы будем выбирать путь для получения точки входа и опоры. Я это делаю с помощью следующего скрипта, который использует утилиту Nmap и принимает один аргумент — адрес сканируемого хоста. Сначала он выполняет быстрое сканирование портов, затем сканирует найденные порты с использованием имеющихся скриптов.
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Результат работы скрипта
В результате сканирования имеем следующий список открытых портов:
Естественно, начинаем с веб‑сервера. Так, при обращении к корневому каталогу веб‑сервера нас встречает стартовая страница IIS.
Стартовая страница Microsoft IIS
У IIS есть несколько дефолтных каталогов (к примеру, /owa
— Microsoft Outlook), но все равно стоит просканировать доступные каталоги. Для этого можно использовать широко известные программы dirsearch и DIRB, но я обычно использую более быстрый gobuster. При запуске используем следующие параметры:
dir
— сканирование директорий и файлов;-k
— не проверять SSL-сертификат;-t []
— количество потоков;-u []
— URL-адрес для сканирования;-x []
— интересующие расширения файлов, перечисленные через запятую;-w []
— словарь для перебора;—timeout []
— время ожидания ответа.gobuster dir -t 128 -u https://reel2.htb/ -k -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x html,php,aspx --timeout 30s
Обнаруженные подкаталоги и файлы на https://reel2.htb
В результате находим каталог owa
.
Панель авторизации Outlook Web App
На IIS мы нашли все что могли, а так как пользовательских веб‑приложений не обнаружено, то переходим на веб‑сервер Apache.
Порт 8080 вызывает больший интерес, так как на этом сайте мы можем зарегистрироваться, а это даст доступ к дополнительным функциям.
Панель авторизации Wallstant
Даже если сайт не имеет никаких уязвимостей, он может содержать полезную информацию. Например, имена пользователей, используемые технологии, косвенную информацию для составления списка паролей. Поэтому сразу после регистрации и авторизации останавливаемся на пользователях.
Домашняя страница авторизованного пользователя
Найти вектор для дальнейшей атаки было тяжело, поэтому я решил перебрать учетные данные Outlook. Для составления списка паролей используем всю косвенную информацию. У пользователя sven данных больше, чем у других.
Профиль пользователя sven
Создадим для него список возможных логинов. Комбинируя все возможные сочетания имени Sven Svensson
, мы можем создать следующий список.
Список имен учетных записей
Для создания паролей я попробовал утилиту bopscrk. Суть программ такого рода в том, что мы скармливаем им разные словари, последовательности символов или даже правила составления паролей, а они генерируют словарь для брута. Как видно на скриншоте ниже, я указал значение следующих параметров:
В итоге мы получаем словарь, содержащий 9204 варианта пароля!
Результат работы утилиты bopscrk
В результате мы получили два файла для перебора учетных данных пользователя — с логинами и с паролями.
Если не знаешь, что использовать для брута, бери на заметку отличное средство — SprayingToolkit. Этот тулкит включает в себя несколько модулей. Нам нужен модуль Atomizer, который используется для брута Lync, OWA и IMAP. Запускаем со следующими параметрами:
owa
— для перебора Outlook Web App;reel2.htb
— корневой для каталога /owa
адрес;~/tmp/bopscrk/tmp.txt
— список паролей;~/tmp/user.txt
— список логинов;-i [H:M:S]
— временной интервал между запросами;-t []
— количество потоков.python3 atomizer.py owa reel2.htb ~/tmp/bopscrk/tmp.txt ~/tmp/user.txt -i 0:0:1 -t 64
Результат работы утилиты automizer
Перебор занимает некоторое время, но все же находим верную пару учетных данных. Automizer сохранит все найденные учетные данные в файл owa_valid_accounts.txt
.
Outlook Web App после успешной авторизации
Источник: xakep.ru