cibersegurança HTB MSSQL DNS Spoofing Exploração

HTB OverWatch: Explorando o Servidor Vinculado MSSQL via DNS Spoofing

Este artigo detalha a exploração da máquina OverWatch no Hack The Box, focando na obtenção de acesso de superusuário. A técnica envolve a descompilação de um aplicativo .NET, a exploração de um servidor vinculado MSSQL e a injeção de comandos em um serviço SOAP local.

MundiX News·14 de maio de 2026·10 min de leitura·👁 3 views

HTB OverWatch: Explorando o Servidor Vinculado MSSQL via DNS Spoofing

Conteúdo do Artigo

Reconhecimento
Varredura de Portas
Ponto de Entrada
Ponto de Apoio
DNS Spoofing
Escalação de Privilégios Local
Injeção de Comandos

Neste artigo, vamos descompilar um aplicativo .NET e obter credenciais para conectar a um servidor Microsoft SQL Server. Em seguida, através de um servidor vinculado e DNS spoofing, obteremos as credenciais do usuário. Para a escalação de privilégios, executaremos a injeção de comandos em um serviço SOAP acessível localmente.

Nosso objetivo é obter direitos de superusuário na máquina OverWatch da plataforma Hack The Box. O nível de dificuldade é médio.

Aviso

Recomenda-se conectar às máquinas HTB usando ferramentas de anonimização e virtualização. Não faça isso em computadores onde haja dados importantes para você, pois você estará em uma rede compartilhada com outros participantes.

Reconhecimento

Varredura de Portas

Adicionamos o endereço IP da máquina em /etc/hosts:

10.129.21.238 overwatch.htb

E executamos a varredura de portas.

Informações: Varredura de portas é o primeiro passo padrão em qualquer ataque. Ele permite que o atacante descubra quais serviços estão aceitando conexões no host. Com base nessas informações, ele escolhe o próximo passo para obter um ponto de entrada.

A ferramenta mais conhecida para varredura é o Nmap. Você pode melhorar os resultados do seu trabalho com a ajuda do seguinte script:

bash
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep '^[0-9]' | cut -d '/' -f1 | tr ' ' ',' | sed s/,$//)
nmap -p $ports -A $1

Ele funciona em duas etapas. Na primeira, uma varredura rápida normal é realizada, na segunda, uma varredura mais completa, usando scripts embutidos (opção -A).

Mais detalhes sobre como trabalhar com o Nmap podem ser encontrados no artigo "Nmap do início. Dominando o reconhecimento e a varredura de rede".

Resultado do script

O scanner encontrou 14 portas abertas:

88 - Kerberos;
135 - Microsoft RPC;
139 - Serviço de sessão NetBIOS, NetLogon;
389 - LDAP;
445 - SMB;
464 - Alteração de senha Kerberos;
593 (HTTP-RPC-EPMAP) - DCOM e Microsoft Exchange;
636 - LDAP com criptografia SSL ou TLS;
3268 (LDAP) - Acesso do cliente ao catálogo global no controlador de domínio;
3269 (LDAPS) - Acesso do cliente ao catálogo global no controlador de domínio por meio de uma conexão segura;
3389 - Serviços de Área de Trabalho Remota;
5985 - WinRM;
6520 - DBMS Microsoft SQL Server;
9389 - Serviços Web do Active Directory Domain Services.

Ponto de Entrada

Primeiro, vamos verificar o serviço SMB usando NetExec.

bash
nxc smb 10.129.21.238

Verificação do serviço SMB

Obtemos o nome da máquina e do domínio, e também descobrimos que o acesso anônimo está disponível. Vamos verificar quais recursos compartilhados estão disponíveis com uma conexão anônima em nome do usuário convidado.

bash
nxc smb 10.129.21.238 -u guest -p '' --shares

Lista de recursos SMB compartilhados

Na lista, vemos o diretório software$, acessível para leitura. Conectamos ao recurso compartilhado via smbclient-ng e visualizamos o conteúdo.

bash
smbclientng -u guest -p '' --host 10.129.21.238

Conteúdo do diretório Monitoring

No diretório Monitoring, encontramos o arquivo executável overwatch.exe, muitas bibliotecas DLL e um arquivo de configuração overwatch.exe.config. Baixamos o binário com a configuração para a máquina local para análise. A partir dele, descobrimos que o aplicativo está rodando na porta 8000 e processa o endpoint /MonitorService.

Conteúdo do arquivo overwatch.exe.config

O restante do artigo está disponível apenas para assinantes.

Os materiais das edições recentes ficam disponíveis separadamente apenas dois meses após a publicação. Para continuar lendo, você precisa se tornar um membro da comunidade "Xakep.ru".

Junte-se à comunidade "Xakep.ru"!

A associação à comunidade durante o período especificado lhe dará acesso a TODOS os materiais do "Hacker", permitirá que você baixe as edições em PDF, desative a publicidade no site e aumente seu desconto acumulativo pessoal!

Mais detalhes

Eu já sou membro do "Xakep.ru"

← Anterior

Estudante taiwanês hackeia ferrovia de alta velocidade e interrompe trens

Gorelkina pede que os desenvolvedores deixem o GitHub

HTB OverWatch: Explorando o Servidor Vinculado MSSQL via DNS Spoofing

Conteúdo do Artigo

Reconhecimento
Varredura de Portas
Ponto de Entrada
Ponto de Apoio
DNS Spoofing
Escalação de Privilégios Local
Injeção de Comandos

Nosso objetivo é obter direitos de superusuário na máquina OverWatch da plataforma Hack The Box. O nível de dificuldade é médio.

Aviso

Reconhecimento

Varredura de Portas

Adicionamos o endereço IP da máquina em /etc/hosts:

10.129.21.238 overwatch.htb

E executamos a varredura de portas.

A ferramenta mais conhecida para varredura é o Nmap. Você pode melhorar os resultados do seu trabalho com a ajuda do seguinte script:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep '^[0-9]' | cut -d '/' -f1 | tr ' ' ',' | sed s/,$//)
nmap -p $ports -A $1

Ele funciona em duas etapas. Na primeira, uma varredura rápida normal é realizada, na segunda, uma varredura mais completa, usando scripts embutidos (opção -A).

Mais detalhes sobre como trabalhar com o Nmap podem ser encontrados no artigo "Nmap do início. Dominando o reconhecimento e a varredura de rede".

Resultado do script

O scanner encontrou 14 portas abertas:

88 - Kerberos;
135 - Microsoft RPC;
139 - Serviço de sessão NetBIOS, NetLogon;
389 - LDAP;
445 - SMB;
464 - Alteração de senha Kerberos;
593 (HTTP-RPC-EPMAP) - DCOM e Microsoft Exchange;
636 - LDAP com criptografia SSL ou TLS;
3268 (LDAP) - Acesso do cliente ao catálogo global no controlador de domínio;
3269 (LDAPS) - Acesso do cliente ao catálogo global no controlador de domínio por meio de uma conexão segura;
3389 - Serviços de Área de Trabalho Remota;
5985 - WinRM;
6520 - DBMS Microsoft SQL Server;
9389 - Serviços Web do Active Directory Domain Services.

Ponto de Entrada

Primeiro, vamos verificar o serviço SMB usando NetExec.

nxc smb 10.129.21.238

Verificação do serviço SMB

nxc smb 10.129.21.238 -u guest -p '' --shares

Lista de recursos SMB compartilhados

Na lista, vemos o diretório software$, acessível para leitura. Conectamos ao recurso compartilhado via smbclient-ng e visualizamos o conteúdo.

smbclientng -u guest -p '' --host 10.129.21.238

Conteúdo do diretório Monitoring

Conteúdo do arquivo overwatch.exe.config

O restante do artigo está disponível apenas para assinantes.

Os materiais das edições recentes ficam disponíveis separadamente apenas dois meses após a publicação. Para continuar lendo, você precisa se tornar um membro da comunidade "Xakep.ru".

Junte-se à comunidade "Xakep.ru"!

Mais detalhes

Eu já sou membro do "Xakep.ru"

← Anterior

Estudante taiwanês hackeia ferrovia de alta velocidade e interrompe trens

Gorelkina pede que os desenvolvedores deixem o GitHub