HTB Socket. Эксплуатируем SQL-инъекцию для атаки на SQLite через WebSocket

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Локальное повышение привилегий

В этом райтапе я покажу, как эксплуатировать SQL-инъекцию в SQLite, обращаясь к базе через веб‑сокет. Также пореверсим приложение на Python 3, скомпилированное для Linux, и повысим привилегии на целевой машине, проэксплуатировав уязвимость в билдере Python.

Наша цель — захват тренировочной машины Socket с площадки Hack The Box. Уровень ее сложности — средний.

warning

Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.206 socket.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Результат работы скрипта

По результатам сканирования имеем три открытых порта:

22 — служба OpenSSH 8.9p1;
80 — веб‑сервер Apache 2.4.52;
5789 — сервер Python 3, отвечающий по WebSockets.

SSH ничего не даст, с веб‑сокетами тоже пока что ничего не ясно, поэтому проходим на основной сайт. Как видно из http-title, выполняется редирект на адрес http://qreader.htb. Добавим этот домен в файл /etc/hosts и откроем в браузере.

10.10.11.206 socket.htb qreader.htb