HTB Dog. Атакуем сервер Backdrop CMS

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Точка опоры
• Продвижение
• Локальное повышение привилегий

В этом рай­тапе я покажу весь путь ата­ки на Backdrop CMS. Сна­чала мы получим учет­ные дан­ные из кон­фига, забыто­го раз­работ­чиками в катало­ге Git, затем авто­ризу­емся и заг­рузим модуль для выпол­нения сво­его кода и получе­ния RCE. При повыше­нии при­виле­гий вос­поль­зуем­ся воз­можнос­тями ути­литы адми­нис­три­рова­ния Backdrop CMS.

На­ша конеч­ная цель — получе­ние прав супер­поль­зовате­ля на машине Dog с учеб­ной пло­щад­ки Hack The Box. Уро­вень ее слож­ности — лег­кий.

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ра, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

Ска­нер нашел два откры­тых пор­та:

• 22 — служ­ба OpenSSH 7.9p1;
• 80 — веб‑сер­вер Apache 2.4.38.

Из отче­та nmap вид­но, что на веб‑сер­вере есть файл robots.txt, а так­же репози­торий Git.

Глав­ная стра­ница сай­та 

Точка входа

Пер­вым делом поп­робу­ем выкачать весь репози­торий с помощью git-dumper.

git-dumper http://dog.htb dog

За­тем прос­мотрим исто­рию ком­митов через VSCodium.

В исто­рии ком­митов ничего инте­рес­ного нет, одна­ко мы узна­ем, что исполь­зует­ся Backdrop CMS. Быс­трый поиск по сло­ву version поз­воля­ет най­ти вер­сию CMS.

Пер­вым делом сто­ит про­верить, есть ли для обна­ружен­ной сис­темы готовые экс­пло­иты. С этим воп­росом отправ­ляем­ся в Google.

По­иск экс­пло­итов в Google

По пер­вой ссыл­ке находим инс­трук­цию о том, как заг­рузить свой модуль и получить RCE (воз­можность уда­лен­ного выпол­нения кода). Одна­ко для это­го нам нуж­но сна­чала как‑то попасть в админку. Поищем учет­ные дан­ные в фай­ле settings.php, где содер­жатся нас­трой­ки для под­клю­чения к базе дан­ных MySQL.

Со­дер­жимое фай­ла settings.php

По­иск поч­товых адре­сов