Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
HTB Spider. Эксплуатируем инъекцию шаблонов и уязвимость в XML
Содержание статьи
- Разведка. Сканирование портов
- Точка входа
- Уязвимость SSTI
- Уязвимость SQL injection
- Точка опоры. Эксплуатация SSTI
- Закрепление
- Локальное повышение привилегий
В этой статье я покажу, как проводятся атаки server-side template injection, SQL injection и XML external entity injection (XXE). В этом мне поможет машина Spider сложного уровня с площадки Hack The Box. Приступим!
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка. Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.10.243 spider.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта.
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Находим два открытых порта: 22 (служба SSH) и 80 — веб‑сервер nginx 1.14.0.
Первым делом открываем сайт. На нем можно зарегистрироваться — лучше сразу же это сделать, чтобы получить доступ к большему числу функций, которые можно тестировать.
Стартовая страница сайта
На что стоит обратить внимание? Так как это интернет‑магазин, здесь можно добавлять товары в корзину. При этом используются cookie, но сделать с ними ничего интересного пока нельзя, поскольку они закодированы.
Еще на сайте есть форма поиска. Я попробовал скармливать ей разные интересные последовательности из своих словарей, но уязвимостей не нашел.
Сканирование поддоменов, директорий и другого контента тоже ничего не дало. Поэтому я решил вернуться к формам регистрации и авторизации.
Первое, на что натыкаемся, — это ограничение длины имени пользователя.
Сообщение об ограничении длины логина
Точка входа
На любые кавычки и комментарии при регистрации имени пользователя admin; # форма никак не реагировала.
Отображение имени пользователя на главной странице
Отображение имени пользователя на странице user
На остальные паттерны из списка тоже. Поэтому делаем вывод, что форма к SQL-инъекциям неуязвима. Однако получается добиться реакции при использовании в имени пользователя тегов HTML! Например, если ввести юзернейм <b>asd</b>, то на главной странице он отобразится жирным шрифтом, хоть на странице /user и остается без изменений.
Отображение имени пользователя на главной странице
Отображение имени пользователя на странице user
В подобных случаях, когда работают теги HTML, стоит сразу проверить возможность внедрить шаблон (server-side template injection). Очень часто подобные уязвимости совместимы с SSTI. И при использовании имени пользователя {{7*7}} на странице /user обнаружим, что шаблон сработал!
Отображение имени пользователя на главной странице
Отображение имени пользователя на странице user
Уязвимость SSTI
Server-side template injection (SSTI) — это атака, при которой злоумышленник внедряет в шаблон вредоносный код. Шаблоны страниц придуманы для того, чтобы отделить верстку страниц от кода, но возможность вставлять в них динамические данные иногда открывает новые горизонты.
Если злоумышленнику удается отправить на сервер данные, которые будут распознаны шаблонизатором как директивы внутри шаблона, это позволит манипулировать данными и в некоторых случаях получить контроль над сервером.
Источник: xakep.ru
