HTB MonitorsFour: Escapando do Container WSL via Docker API e Conquistando o Windows

HTB MonitorsFour: Escapando do Container WSL via Docker API e Conquistando o Windows

Conteúdo do Artigo

• Reconhecimento
• Varredura de Portas
• Ponto de Entrada
• Ponto de Apoio
• Avanço
• Elevação de Privilégios Local

Quando um container no WSL tem acesso à Docker Engine API na sub-rede do host, a isolação pode ser contornada: crie seu próprio container, monte a unidade C e modifique os arquivos do Windows. Também encontraremos a API Docker aberta, obteremos acesso ao sistema de arquivos do host, substituiremos o script da tarefa do agendador e alteraremos a senha do administrador.

Nosso objetivo é obter direitos de superusuário na máquina MonitorsFour da plataforma de treinamento Hack The Box. O nível da tarefa é fácil, e o sistema operacional é Windows.

Aviso

É recomendável conectar-se às máquinas HTB usando anonimização e virtualização. Não faça isso de computadores onde haja dados importantes para você, pois você estará em uma rede compartilhada com outros participantes.

Reconhecimento

Varredura de Portas

Adicionamos o endereço IP da máquina em /etc/hosts:

10.129.10.26 monitorsfour.htb

Executamos a varredura de portas.

Dica: Varredura de portas

A varredura de portas é o primeiro passo padrão em qualquer ataque. Ele permite que o atacante descubra quais serviços no host estão aceitando conexões. Com base nessa informação, ele escolhe o próximo passo para obter um ponto de entrada.

A ferramenta mais conhecida para varredura é o Nmap. Você pode melhorar os resultados do seu trabalho com a ajuda do seguinte script:

bash
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep '^[0-9]' | cut -d '/' -f1 | tr ' ' ',' | sed s/,$/ /)
nmap -p $ports -A $1

Ele funciona em duas etapas. Na primeira, uma varredura rápida normal é realizada, e na segunda, uma varredura mais completa, usando scripts embutidos (a opção -A).

Mais detalhes sobre como trabalhar com o Nmap podem ser encontrados no artigo "Nmap desde o início. Dominando o reconhecimento e a varredura de rede".

Resultado do script

O scanner detectou duas portas abertas:

• 80 - Servidor web Nginx;
• 5985 - WinRM.

Não há nada a ser feito com o WinRM, então vamos dar uma olhada no site.

Ponto de Entrada

Na página principal do site

Não foi possível encontrar nada de interessante no site, então vamos prosseguir com a varredura.

Dica: Varredura web com feroxbuster

Uma das primeiras ações ao testar a segurança de um aplicativo web é a varredura por força bruta de diretórios para encontrar informações ocultas e funções inacessíveis aos visitantes comuns. Para isso, você pode usar programas como dirsearch, DIRB ou ffuf. Hoje, usaremos feroxbuster.

Ao iniciar, especificamos os seguintes parâmetros:

• -k - não verificar o certificado TLS, útil ao escanear sites HTTPS com um certificado autoassinado ou incorreto;
• -u - URL;
• -d - profundidade da varredura;
• -t - número de threads;
• -C - excluir respostas com o código HTTP especificado, por exemplo, -C 404 oculta os resultados com o status 404;
• -w - dicionário (eu uso dicionários do conjunto SecLists).

Mais detalhes sobre web fuzzing podem ser encontrados no artigo "Web Fuzzing desde o início. Aprendendo a iterar diretórios e procurar arquivos ocultos em sites".

bash
feroxbuster -k -u http://monitorsfour.htb/ -d 1 -t 128 -C 404 -w files_interesting.txt

Resultado da varredura de arquivos com feroxbuster

O restante do artigo está disponível apenas para assinantes do Xakep.ru.