Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Популярные статьи
Наш опрос



РЕКЛАМА


ВАША РЕКЛАМА
16-03-2021, 00:00
HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration - «Новости»
Рейтинг:
Категория: Новости

HackTheBox, и на ее при­мере мы поз­накомим­ся с век­торами ата­ки на Outlook Web App, научим­ся генери­ровать спи­сок паролей из инфы о поль­зовате­лей, порабо­таем с WS-Management и поищем уяз­вимос­ти в нас­трой­ках Just Enough Administration (JEA). Заод­но я покажу, как собирать учет­ные дан­ные на хос­те, перенап­равлять тра­фик при­ложе­ния и делать шелл с помощью базы дан­ных.

warning


Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.



 

Разведка


 

Сканирование портов


Ма­шина Reel2 име­ет IP-адрес 10.10.10.210 — я добав­лю его в /etc/hosts, что­бы мож­но было обра­щать­ся к хос­ту по име­ни.


10.10.10.210 reel2.htb

Лю­бая ата­ка начина­ется со ска­ниро­вания откры­тых на хос­те пор­тов. Это необ­ходимо для того, что­бы узнать, какие служ­бы при­нима­ют соеди­нение. Исхо­дя из получен­ной информа­ции, мы будем выбирать путь для получе­ния точ­ки вхо­да и опо­ры. Я это делаю с помощью сле­дующе­го скрип­та, который исполь­зует ути­литу Nmap и при­нима­ет один аргу­мент — адрес ска­ниру­емо­го хос­та. Сна­чала он выпол­няет быс­трое ска­ниро­вание пор­тов, затем ска­ниру­ет най­ден­ные пор­ты с исполь­зовани­ем име­ющих­ся скрип­тов.


ports=$(nmap -p- --min-rate=500 $1 | grep^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
HTB Reel2. Захватываем машину через Outlook и разбираемся с технологией Just Enough Administration - «Новости»
Ре­зуль­тат работы скрип­та

В резуль­тате ска­ниро­вания име­ем сле­дующий спи­сок откры­тых пор­тов:



  • порт 80 — веб‑сер­вер Microsoft IIS 8.5;

  • порт 443 — обыч­но еще один порт веб‑сер­вера, но с исполь­зовани­ем SSL;

  • порт 5985 — этот порт отве­чает за служ­бу уда­лен­ного управле­ния WinRM;

  • пор­ты 6001...6021 — не инте­ресу­ют;

  • порт 8080 — веб‑сер­вер Apache.


Ес­тес­твен­но, начина­ем с веб‑сер­вера. Так, при обра­щении к кор­невому катало­гу веб‑сер­вера нас встре­чает стар­товая стра­ница IIS.


Стар­товая стра­ница Microsoft IIS 

Перебор каталогов


У IIS есть нес­коль­ко дефол­тных катало­гов (к при­меру, /owa — Microsoft Outlook), но все рав­но сто­ит прос­каниро­вать дос­тупные катало­ги. Для это­го мож­но исполь­зовать широко извес­тные прог­раммы dirsearch и DIRB, но я обыч­но исполь­зую более быс­трый gobuster. При запус­ке исполь­зуем сле­дующие парамет­ры:




  • dir — ска­ниро­вание дирек­торий и фай­лов;


  • -k — не про­верять SSL-сер­тификат;


  • -t [] — количес­тво потоков;


  • -u [] — URL-адрес для ска­ниро­вания;


  • -x [] — инте­ресу­ющие рас­ширения фай­лов, перечис­ленные через запятую;


  • -w [] — сло­варь для перебо­ра;


  • —timeout [] — вре­мя ожи­дания отве­та.


gobuster dir -t 128 -uhttps://reel2.htb/-k -w/usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -xhtml,php,aspx --timeout 30s
Об­наружен­ные под­катало­ги и фай­лы на https://reel2.htb

В резуль­тате находим каталог owa.


Па­нель авто­риза­ции Outlook Web App

На IIS мы наш­ли все что мог­ли, а так как поль­зователь­ских веб‑при­ложе­ний не обна­руже­но, то перехо­дим на веб‑сер­вер Apache.


 

OSINT


Порт 8080 вызыва­ет боль­ший инте­рес, так как на этом сай­те мы можем зарегис­три­ровать­ся, а это даст дос­туп к допол­нитель­ным фун­кци­ям.


Па­нель авто­риза­ции Wallstant

Да­же если сайт не име­ет никаких уяз­вимос­тей, он может содер­жать полез­ную информа­цию. Нап­ример, име­на поль­зовате­лей, исполь­зуемые тех­нологии, кос­венную информа­цию для сос­тавле­ния спис­ка паролей. Поэто­му сра­зу пос­ле регис­тра­ции и авто­риза­ции оста­нав­лива­емся на поль­зовате­лях.


До­маш­няя стра­ница авто­ризо­ван­ного поль­зовате­ля

Най­ти век­тор для даль­нейшей ата­ки было тяжело, поэто­му я решил переб­рать учет­ные дан­ные Outlook. Для сос­тавле­ния спис­ка паролей исполь­зуем всю кос­венную информа­цию. У поль­зовате­ля sven дан­ных боль­ше, чем у дру­гих.


Про­филь поль­зовате­ля sven

Соз­дадим для него спи­сок воз­можных логинов. Ком­бинируя все воз­можные сочета­ния име­ни Sven Svensson, мы можем соз­дать сле­дующий спи­сок.


Спи­сок имен учет­ных записей

Для соз­дания паролей я поп­робовал ути­литу bopscrk. Суть прог­рамм такого рода в том, что мы скар­мли­ваем им раз­ные сло­вари, пос­ледова­тель­нос­ти сим­волов или даже пра­вила сос­тавле­ния паролей, а они генери­руют сло­варь для бру­та. Как вид­но на скрин­шоте ниже, я ука­зал зна­чение сле­дующих парамет­ров:



  • ми­нималь­ная дли­на пароля — 6;

  • пер­вое имя — sven;

  • вто­рое имя — svensson;

  • ре­леван­тные сло­ва через запятую — this, 2020, summer, hot;

  • ис­поль­зовать leet-транс­крип­цию (ког­да, к при­меру, бук­ва е заменя­ется на циф­ру 3, g — на 9 и так далее) — отка­зыва­емся;

  • ис­поль­зовать транс­крип­цию в раз­ных регис­трах — да;

  • ко­личес­тво слов для ком­биниро­вания — 3.


В ито­ге мы получа­ем сло­варь, содер­жащий 9204 вари­анта пароля!


Ре­зуль­тат работы ути­литы bopscrk

В резуль­тате мы получи­ли два фай­ла для перебо­ра учет­ных дан­ных поль­зовате­ля — с логина­ми и с пароля­ми.


 

Точка входа


 

Брутфорс OWA


Ес­ли не зна­ешь, что исполь­зовать для бру­та, бери на замет­ку отличное средс­тво — SprayingToolkit. Этот тул­кит вклю­чает в себя нес­коль­ко модулей. Нам нужен модуль Atomizer, который исполь­зует­ся для бру­та Lync, OWA и IMAP. Запус­каем со сле­дующи­ми парамет­рами:




  • owa — для перебо­ра Outlook Web App;


  • reel2.htb — кор­невой для катало­га /owa адрес;


  • ~/tmp/bopscrk/tmp.txt — спи­сок паролей;


  • ~/tmp/user.txt — спи­сок логинов;


  • -i [H:M:S] — вре­мен­ной интервал меж­ду зап­росами;


  • -t [] — количес­тво потоков.


python3 atomizer.py owa reel2.htb ~/tmp/bopscrk/tmp.txt ~/tmp/user.txt -i0:0:1 -t 64
Ре­зуль­тат работы ути­литы automizer

Пе­ребор занима­ет некото­рое вре­мя, но все же находим вер­ную пару учет­ных дан­ных. Automizer сох­ранит все най­ден­ные учет­ные дан­ные в файл owa_valid_accounts.txt.


Outlook Web App пос­ле успешной авто­риза­ции

Теги: CSS

Просмотров: 58
Комментариев: 0:   16-03-2021, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle