warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

До­бав­ляем IP-адрес машины в /etc/hosts:

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та.

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Мы находим три откры­тых пор­та:

• 22 — служ­ба OpenSSH 8.2p1;
  


• 80 — веб‑сер­вер Apache 2.4.41;
  


• 3128 — тоже веб‑сер­вер, но обыч­но на этом пор­те работа­ет прок­си‑сер­вер.
  

SSH мы пока что про­пус­каем и перехо­дим к озна­ком­лению с веб‑сер­вером.

Справка: брутфорс учеток

Пос­коль­ку вна­чале у нас нет учет­ных дан­ных, нет и смыс­ла изу­чать служ­бы, которые всег­да тре­буют авто­риза­ции (нап­ример, SSH). Единс­твен­ное, что мы можем делать здесь, — переби­рать пароли брут­форсом, но машины с HTB поч­ти всег­да мож­но прой­ти по‑дру­гому. В жиз­ни таких вари­антов может не быть, к тому же есть шан­сы подоб­рать пароль или получить его при помощи соци­аль­ной инже­нерии.

На пер­вый взгляд, сайт нам ничего не дает. Поп­робу­ем коп­нуть глуб­же, нап­ример с помощью WhatWeb. WhatWeb рас­позна­ет веб‑тех­нологии, в том чис­ле сис­тему управле­ния кон­тентом (CMS), плат­формы для ведения бло­гов, пакеты ста­тис­тики и ана­лити­ки, биб­лиоте­ки jаvascript, веб‑сер­веры и дру­гие тех­нологии. К тому же для этой прог­раммы есть более 1700 пла­гинов, которые могут быть исполь­зованы в агрессив­ном режиме ска­ниро­вания. Если запус­тить прог­рамму с нас­трой­ками по умол­чанию, то будет выпол­нен все­го один зап­рос.

Но никакой новой информа­ции сно­ва не получа­ем. В таком слу­чае прос­каниру­ем скры­тые дирек­тории в кор­невом катало­ге сай­та, к при­меру с помощью ffuf.

Справка: сканирование веба c ffuf

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:

• 
  -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
  


• 
  -t — количес­тво потоков;
  


• 
  -u — URL;
  


• 
  -fc — исклю­чить из резуль­тата отве­ты с кодом 403.
  

Ко­ман­да получа­ется сле­дующая:

И сно­ва ничего важ­ного. К дан­ному момен­ту в моем чек‑лис­те остался не зак­рыт пункт ска­ниро­вания пор­тов UDP, поэто­му я зарядил Nmap, и это дало пло­ды.

Точка опоры

Пос­ле ска­ниро­вания наибо­лее веро­ятных пор­тов UDP мы наш­ли служ­бу SNMP на пор­те 161. SNMP — прос­той про­токол управле­ния сетью. Он при­меня­ется для монито­рин­га устрой­ств в сети (нап­ример, мар­шру­тиза­торов, ком­мутато­ров, прин­теров). Тут сле­дует сра­зу упо­мянуть два понятия:

• 
  MIB (management information base) — база дан­ных информа­ции управле­ния, хра­нящая дан­ные обо всех объ­ектах (парамет­рах и нас­трой­ках) устрой­ства;
  


• 
  OID (object identificator) — чис­ловой иден­тифика­тор объ­екта в дереве MIB.
  

При работе с уда­лен­ной сис­темой по SNMP все зап­росы выпол­няют­ся через OID, отра­жающий положе­ние объ­екта в дереве объ­ектов MIB. Но что­бы получить все стро­ки, нам сна­чала нуж­но прой­ти сво­еоб­разную аутен­тифика­цию, ука­зав стро­ку — иден­тифика­тор сооб­щес­тва. Так как мы ее не зна­ем, нуж­но переб­рать, к при­меру с помощью Hydra. Переби­рать будем по сло­варю из набора SecLists.

Все OID сис­темы мож­но получить, прос­каниро­вав устрой­ство, нап­ример сле­дующей коман­дой:

Так мы получа­ем какую‑то информа­цию, свя­зан­ную с поль­зовате­лем, а так­же спи­сок запущен­ных про­цес­сов. В пос­леднем фигури­рует скрипт host_check, которо­му переда­ются учет­ные дан­ные обна­ружен­ного поль­зовате­ля. Они помога­ют авто­ризо­вать­ся по SSH.

Продвижение

Те­перь, ког­да мы получи­ли дос­туп к хос­ту, нам нуж­но соб­рать информа­цию, которая поможет повысить при­виле­гии. Для поис­ка путей к это­му я час­то при­бегаю к скрип­там PEASS.

Теги: CSS