# Домашняя работа №2 (Фишинговая атака на Xen в HTB Endgames) ###### tags: `Домашние задания Network Infrastructure Attacks Fundamentals` 1) Ранее мы уже зарегистрировали учетку и уже успели поработать на площадке HTB. Переходим к новому разделу HTB - Endgames, в данном разделе содержаться задачи, в которых имитируются атаки на комплексные инфраструктуры, которые можно встретить и в реальных объектах. Для того чтобы подключиться к данной платформе переходим в раздел как на скриншоте.  2) Находим в списке Xen и переходим в неё.  3) И тут можно сразу увидеть состав инфраструктуры и точку входа в неё.  4) С платформой мы познакомились, теперь необходимо к ней подключится, для этого выбираем сверху кнопку "Connect to HTB" и там выбираем нужные параметры в разделе `Endgames`, скачиваем файл Openvpn и подключаемся.  5) Подключаемся к платформе.  Начинаем непосредственно выполнять задание. 6) Сразу добавляем в hosts имя для атакуемой машины. Название мы видим в описании на htb.  7) Начинаем выполнение со сканирования с помощью nmap.  Обнаруживаем открытые порты 25, 80 и 443 и соответствующие сервисы. 8) Проверим, что нам предлагается на данном сайте.  Ничего интересного не обнаруживаем, кроме кнопки с указанием почты, куда можно отправить сообщение `jointheteam@humongousretail.com`. 9) Попробуем поискать какие пути есть на атакуемом ресурсе. Поищем их с помощью gobuster.  Из интересного обнаруживаем путь remote. Проверим что открывается по нему.  10) Обнаруживаем citrix xenapp, который используется для подключения к удаленному рабочему столу. Из оставшихся вариантов мы можем воспользоваться почтой чтобы получить данные для авторизации. Воспользуемся утилитой `smtp-user-enum` для получения учеток с сервера.  Обнаруживаем несколько почтовых ящиков. 11) Мы видим несколько почтовых ящиков, в том числе и ящик it, который мы можем использовать для фишинга, например, подняв у себя копию сайта с авторизацией подобно найденному, а затем разослать сообщение от имени ящика it всем пользователям почты и таким образом мы получим учетные данные пользователей. Итак, поднимаем на nginx копию сайта, добавим соответствующий код в конфиг nginx по пути - /etc/nginx/sites-enabled/default. Добавляем код в раздел location.  12) Также необходимо запустить сервис nginx (также убедитесь, что не запущен apache2 или подобный сервис на порту 80)  13) Для рассылки будем использовать swaks и также создадим файлик с текстом о том что у портала авторизации новый адрес (то есть наш).  14) Теперь отправим письмо о смене адреса авторизации на почтой адрес sales(для начала), чтобы смотреть результаты авторизации (если они будут) можно было бы настроить логирование, но сделаем проще, просто посмотрим результат в wireshark. Запустим его и с помощью swaks отправим письмо - `swaks --to sales@humongousretail.com --from it@humongousretail.com --server 10.13.38.12 --port 25 --body body.txt`  15) Получаем учетные данные.  Одна из учеток. jmendes: VivaBARC3L0N@!!! domain - HTB.LOCAL 16) Заходим на сайт и авторизуемся под найденной учетной записью.  Попадаем на машину. 17) У нас есть права пользователя, но нам нужно повысить их до администратора. Для начала попробуем сделать reverse shell и создать meterpreter консоль для удобства. Создаем через msfvenom.  18) Создаем просто http server.  19) Запускаем handler с параметрами. А затем на атакуемой машине запускаем наш файлик.  Получаем meterpreter.  20) Воспользуемся постэксплотационным поиском экплотов в текущей сессии для возможности повысить привелегии.  21) Воспользуемся первым эксплойтом для повышения до system. Создаем отдельный хендлер.  22) Текущую сессию переводим в bg и выбираем нужный нам эксплоит, там выбираем нужные параметры под наш хендлер на порту 5555.   23) И в консоли где у нас был handler на порту 5555 мы получаем права system.