HTB Dynstr. Эксплуатируем уязвимость в DDNS - «Новости»

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

IP машины — 10.10.10.244, добав­ляем его в /etc/hosts, что­бы обра­щать­ся по име­ни:

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та.

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

На­ходим три откры­тых пор­та: 22 (служ­ба SSH), 53 (служ­ба DNS) и 80 (веб‑сер­вер Apache). На SSH нам ловить нечего, но мож­но сра­зу пос­мотреть, что может дать DNS. В пер­вую оче­редь нас инте­ресу­ют новые домен­ные име­на и сер­веры:

Но DNS нам ничего не вер­нул, поэто­му перехо­дим к вебу. Вни­матель­но осмотрим­ся на сай­те и поищем любую потен­циаль­но полез­ную информа­цию. Сайт ока­зал­ся очень информа­тив­ным — пря­мо на глав­ной стра­нице находим мно­жес­тво новых доменов, один адрес элек­трон­ной поч­ты и даже какие‑то учет­ные дан­ные.

Сра­зу же добавим най­ден­ные DNS в /etc/hosts и еще раз про­тес­тиру­ем каж­дое из них, но уже с помощью dnsrecon.

Сно­ва без­резуль­тат­но. Поэто­му воз­вра­щаем­ся к вебу. Так как мы видим толь­ко одну стра­ницу сай­та, есть смысл поис­кать дру­гой кон­тент.

Сканирование веб-контента

Су­щес­тву­ет мно­го ути­лит для перебо­ра URL в поис­ках незалин­кован­ного кон­тента. Нап­ример, dirsearch или dirb. Но я с недав­них пор пред­почитаю лег­ковес­ный ffuf. При запус­ке исполь­зуем сле­дующие парамет­ры:

• 
  -u — URL;
  


• 
  -w — сло­варь (исполь­зуем directory-list-2.3-medium из набора Seclists);
  


• 
  -t — количес­тво потоков.
  

В резуль­тате я нашел нес­коль­ко катало­гов. Дирек­тория assets обыч­но содер­жит вспо­мога­тель­ный кон­тент, такой как скрип­ты, кар­тинки, шриф­ты и сти­ли, поэто­му она нам неин­терес­на. При обра­щении к фай­лу server-status получа­ем ответ 403 Forbidden, что озна­чает огра­ниче­ние или отсутс­твие дос­тупа к матери­алу на стра­нице. Куда инте­рес­нее дирек­тория nic. Давай пов­торим ска­ниро­вание, но уже в этом катало­ге.

Мы находим единс­твен­ную стра­ницу update, при обра­щении к которой получа­ем ответ — badauth.

По­ка неяс­но, что это, но давай поищем этот каталог в Google. Может ока­зать­ся, что это извес­тная тех­нология, и тог­да мы смо­жем почитать докумен­тацию и открыть какие‑то допол­нитель­ные воз­можнос­ти или даже ска­чать готовые экс­пло­иты. Гуг­лим /nic/update, что­бы най­ти точ­ное сов­падение, и пер­вая же ссыл­ка при­водит нас к NO-IP DDNS.

Технология DDNS

DDNS (динами­чес­кий DNS) — это тех­нология, которая поз­воля­ет обновлять информа­цию на сер­вере DNS на лету и, если это нуж­но, авто­мати­чес­ки. DDNS при­меня­ется для того, что­бы наз­начить пос­тоян­ное домен­ное имя устрой­ству с динами­чес­ким IP. Тог­да дру­гие хос­ты смо­гут обра­щать­ся к нему по домену или даже узна­вать, что IP-адрес изме­нил­ся.