HTB OverWatch: Explorando o Servidor Vinculado MSSQL via DNS Spoofing
Este artigo detalha a exploração da máquina OverWatch no Hack The Box, focando na obtenção de acesso de superusuário. A técnica envolve a descompilação de um aplicativo .NET, a exploração de um servidor vinculado MSSQL e a injeção de comandos em um serviço SOAP local.
MundiX News·14 de maio de 2026·10 min de leitura·👁 14 views
HTB OverWatch: Explorando o Servidor Vinculado MSSQL via DNS Spoofing
Conteúdo do Artigo
Reconhecimento
Varredura de Portas
Ponto de Entrada
Ponto de Apoio
DNS Spoofing
Escalação de Privilégios Local
Injeção de Comandos
Neste artigo, vamos descompilar um aplicativo .NET e obter credenciais para conectar a um servidor Microsoft SQL Server. Em seguida, através de um servidor vinculado e DNS spoofing, obteremos as credenciais do usuário. Para a escalação de privilégios, executaremos a injeção de comandos em um serviço SOAP acessível localmente.
Nosso objetivo é obter direitos de superusuário na máquina OverWatch da plataforma Hack The Box. O nível de dificuldade é médio.
Aviso
Recomenda-se conectar às máquinas HTB usando ferramentas de anonimização e virtualização. Não faça isso em computadores onde haja dados importantes para você, pois você estará em uma rede compartilhada com outros participantes.
Reconhecimento
Varredura de Portas
Adicionamos o endereço IP da máquina em /etc/hosts:
10.129.21.238 overwatch.htb
E executamos a varredura de portas.
Informações: Varredura de portas é o primeiro passo padrão em qualquer ataque. Ele permite que o atacante descubra quais serviços estão aceitando conexões no host. Com base nessas informações, ele escolhe o próximo passo para obter um ponto de entrada.
A ferramenta mais conhecida para varredura é o Nmap. Você pode melhorar os resultados do seu trabalho com a ajuda do seguinte script:
Ele funciona em duas etapas. Na primeira, uma varredura rápida normal é realizada, na segunda, uma varredura mais completa, usando scripts embutidos (opção -A).
Mais detalhes sobre como trabalhar com o Nmap podem ser encontrados no artigo "Nmap do início. Dominando o reconhecimento e a varredura de rede".
Resultado do script
O scanner encontrou 14 portas abertas:
88 - Kerberos;
135 - Microsoft RPC;
139 - Serviço de sessão NetBIOS, NetLogon;
389 - LDAP;
445 - SMB;
464 - Alteração de senha Kerberos;
593 (HTTP-RPC-EPMAP) - DCOM e Microsoft Exchange;
636 - LDAP com criptografia SSL ou TLS;
3268 (LDAP) - Acesso do cliente ao catálogo global no controlador de domínio;
3269 (LDAPS) - Acesso do cliente ao catálogo global no controlador de domínio por meio de uma conexão segura;
3389 - Serviços de Área de Trabalho Remota;
5985 - WinRM;
6520 - DBMS Microsoft SQL Server;
9389 - Serviços Web do Active Directory Domain Services.
Ponto de Entrada
Primeiro, vamos verificar o serviço SMB usando NetExec.
bash
nxc smb 10.129.21.238
Verificação do serviço SMB
Obtemos o nome da máquina e do domínio, e também descobrimos que o acesso anônimo está disponível. Vamos verificar quais recursos compartilhados estão disponíveis com uma conexão anônima em nome do usuário convidado.
bash
nxc smb 10.129.21.238 -u guest -p '' --shares
Lista de recursos SMB compartilhados
Na lista, vemos o diretório software$, acessível para leitura. Conectamos ao recurso compartilhado via smbclient-ng e visualizamos o conteúdo.
bash
smbclientng -u guest -p '' --host 10.129.21.238
Conteúdo do diretório Monitoring
No diretório Monitoring, encontramos o arquivo executável overwatch.exe, muitas bibliotecas DLL e um arquivo de configuração overwatch.exe.config. Baixamos o binário com a configuração para a máquina local para análise. A partir dele, descobrimos que o aplicativo está rodando na porta 8000 e processa o endpoint /MonitorService.
Conteúdo do arquivo overwatch.exe.config
O restante do artigo está disponível apenas para assinantes.
Os materiais das edições recentes ficam disponíveis separadamente apenas dois meses após a publicação. Para continuar lendo, você precisa se tornar um membro da comunidade "Xakep.ru".
Junte-se à comunidade "Xakep.ru"!
A associação à comunidade durante o período especificado lhe dará acesso a TODOS os materiais do "Hacker", permitirá que você baixe as edições em PDF, desative a publicidade no site e aumente seu desconto acumulativo pessoal!
Mais detalhes
Eu já sou membro do "Xakep.ru"
← Anterior
Estudante taiwanês hackeia ferrovia de alta velocidade e interrompe trens
Próximo →
Gorelkina pede que os desenvolvedores deixem o GitHub
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
HTB OverWatch: Explorando o Servidor Vinculado MSSQL via DNS Spoofing
Conteúdo do Artigo
Reconhecimento
Varredura de Portas
Ponto de Entrada
Ponto de Apoio
DNS Spoofing
Escalação de Privilégios Local
Injeção de Comandos
Neste artigo, vamos descompilar um aplicativo .NET e obter credenciais para conectar a um servidor Microsoft SQL Server. Em seguida, através de um servidor vinculado e DNS spoofing, obteremos as credenciais do usuário. Para a escalação de privilégios, executaremos a injeção de comandos em um serviço SOAP acessível localmente.
Nosso objetivo é obter direitos de superusuário na máquina OverWatch da plataforma Hack The Box. O nível de dificuldade é médio.
Aviso
Recomenda-se conectar às máquinas HTB usando ferramentas de anonimização e virtualização. Não faça isso em computadores onde haja dados importantes para você, pois você estará em uma rede compartilhada com outros participantes.
Reconhecimento
Varredura de Portas
Adicionamos o endereço IP da máquina em /etc/hosts:
10.129.21.238 overwatch.htb
E executamos a varredura de portas.
Informações: Varredura de portas é o primeiro passo padrão em qualquer ataque. Ele permite que o atacante descubra quais serviços estão aceitando conexões no host. Com base nessas informações, ele escolhe o próximo passo para obter um ponto de entrada.
A ferramenta mais conhecida para varredura é o Nmap. Você pode melhorar os resultados do seu trabalho com a ajuda do seguinte script:
Ele funciona em duas etapas. Na primeira, uma varredura rápida normal é realizada, na segunda, uma varredura mais completa, usando scripts embutidos (opção -A).
Mais detalhes sobre como trabalhar com o Nmap podem ser encontrados no artigo "Nmap do início. Dominando o reconhecimento e a varredura de rede".
Resultado do script
O scanner encontrou 14 portas abertas:
88 - Kerberos;
135 - Microsoft RPC;
139 - Serviço de sessão NetBIOS, NetLogon;
389 - LDAP;
445 - SMB;
464 - Alteração de senha Kerberos;
593 (HTTP-RPC-EPMAP) - DCOM e Microsoft Exchange;
636 - LDAP com criptografia SSL ou TLS;
3268 (LDAP) - Acesso do cliente ao catálogo global no controlador de domínio;
3269 (LDAPS) - Acesso do cliente ao catálogo global no controlador de domínio por meio de uma conexão segura;
3389 - Serviços de Área de Trabalho Remota;
5985 - WinRM;
6520 - DBMS Microsoft SQL Server;
9389 - Serviços Web do Active Directory Domain Services.
Ponto de Entrada
Primeiro, vamos verificar o serviço SMB usando NetExec.
nxc smb 10.129.21.238
Verificação do serviço SMB
Obtemos o nome da máquina e do domínio, e também descobrimos que o acesso anônimo está disponível. Vamos verificar quais recursos compartilhados estão disponíveis com uma conexão anônima em nome do usuário convidado.
nxc smb 10.129.21.238 -u guest -p '' --shares
Lista de recursos SMB compartilhados
Na lista, vemos o diretório software$, acessível para leitura. Conectamos ao recurso compartilhado via smbclient-ng e visualizamos o conteúdo.
smbclientng -u guest -p '' --host 10.129.21.238
Conteúdo do diretório Monitoring
No diretório Monitoring, encontramos o arquivo executável overwatch.exe, muitas bibliotecas DLL e um arquivo de configuração overwatch.exe.config. Baixamos o binário com a configuração para a máquina local para análise. A partir dele, descobrimos que o aplicativo está rodando na porta 8000 e processa o endpoint /MonitorService.
Conteúdo do arquivo overwatch.exe.config
O restante do artigo está disponível apenas para assinantes.
Os materiais das edições recentes ficam disponíveis separadamente apenas dois meses após a publicação. Para continuar lendo, você precisa se tornar um membro da comunidade "Xakep.ru".
Junte-se à comunidade "Xakep.ru"!
A associação à comunidade durante o período especificado lhe dará acesso a TODOS os materiais do "Hacker", permitirá que você baixe as edições em PDF, desative a publicidade no site e aumente seu desconto acumulativo pessoal!
Mais detalhes
Eu já sou membro do "Xakep.ru"
← Anterior
Estudante taiwanês hackeia ferrovia de alta velocidade e interrompe trens
Próximo →
Gorelkina pede que os desenvolvedores deixem o GitHub
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
