HTB Forge. Эксплуатируем SSRF для доступа к критической информации

Содержание статьи

  • Разведка. Сканирование портов
  • Точка входа
  • Точка опоры
  • Локальное повышение привилегий

Се­год­ня мы с тобой прой­дем сред­нюю по слож­ности машину с пло­щад­ки Hack The Box под наз­вани­ем Forge. Про­экс­плу­ати­руем уяз­вимость SSRF в фор­ме заг­рузке фай­лов и через эту уяз­вимость получим дан­ные с локаль­ного FTP-сер­вера. А осложнять все это будут филь­тры адре­сов на сто­роне сер­вера.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка. Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.111 forge.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та.

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Ре­зуль­тат работы скрип­та

Мы наш­ли три откры­тых пор­та, один из которых филь­тру­ется:

  • порт 21 — служ­ба FTP (филь­тру­ется);
  • порт 22 — служ­ба OpenSSH 8.2p1;
  • порт 80 — веб‑сер­вер Apache 2.4.1.

Так как FTP недос­тупен, а SSH про­бивать смыс­ла нет, перехо­дим к тес­тирова­нию сай­та на веб‑сер­вере. Пер­вым делом осмотрим­ся в поис­ке точек вхо­да.

Глав­ная стра­ница сай­та

Нас встре­чает галерея. В вер­хнем пра­вом углу сай­та находим ссыл­ку на фор­му заг­рузки фай­лов. Файл мож­но заг­рузить на сер­вер дву­мя путями: нап­рямую и через URL.

Фор­ма заг­рузки фай­лов нап­рямую

Фор­ма заг­рузки фай­лов через URL

Пер­вая мысль — заг­рузить шелл. Но сер­вер при­нима­ет толь­ко кар­тинки, и выпол­нить встав­ку кода не получи­лось. В сер­висах, где фай­лы заг­ружа­ются через URL, сто­ит про­верить наличие уяз­вимос­ти SSRF.

Справка: SSRF

SSRF — это ата­ка на сер­вер, в резуль­тате которой зло­умыш­ленник получа­ет воз­можность отправ­лять зап­росы от име­ни ском­про­мети­рован­ного хос­та. SSRF может быть исполь­зована в DoS-кам­пани­ях для мас­киров­ки реаль­ного источни­ка ата­ки. В таких слу­чаях уяз­вимый хост выс­тупа­ет в качес­тве прок­си‑сер­вера.

Для тес­та SSRF ука­зыва­ем адрес 127.0.0.1. Но получа­ем сооб­щение о том, что зап­рос заб­локиро­ван, так как URL вклю­чен в чер­ный спи­сок.

Со­обще­ние о бло­киров­ке

Тог­да воз­никла идея поис­кать дру­гие точ­ки — прос­каниро­вать сайт на пред­мет скры­того кон­тента.

Справка: сканирование веба c ffuf

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:

  • -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
  • -t — количес­тво потоков;
  • -u — URL;
  • -fc — исклю­чить из резуль­тата отве­ты с кодом 403.

ffuf -u http://forge.htb/FUZZ -fc 403 -t 300 -w directory_2.3_medium.txt

Ре­зуль­тат ска­ниро­вания катало­гов

Сре­ди катало­гов ничего нового не наш­ли. Тог­да прос­каниру­ем под­домены. Это может открыть новые сай­ты для ата­ки. Исполь­зуем тот же ffuf, а переби­рать будем зна­чение заголов­ка HOST.

ffuf -u http://forge.htb/ -H "Host: FUZZ.forge.htb" -fc 302 -t 300 -w subdomains-top1million-110000.txt

Ре­зуль­тат ска­ниро­вания под­доменов

На­ходим новый сайт, который добав­ляем в файл /etc/hosts:

10.10.11.111 admin.forge.htb

Прав­да, он дос­тупен толь­ко для обра­щения с локаль­ного хос­та.

От­вет сер­вера при обра­щении к admin.forge.htb 

Точка входа

Так как боль­ше ничего инте­рес­ного не наш­ли, нуж­но пытать­ся про­бить SSRF. Поэто­му поп­робу­ем раз­ные спо­собы ука­зания локаль­ного хос­та и перебе­рем с помощью Burp Intruder. Перех­ватыва­ем зап­рос в Burp Proxy и перенап­равля­ем в Intruder. На вклад­ке Payload Positions выбира­ем адрес 127.0.0.1.

Burp Intruder — вклад­ка Positions

Источник: xakep.ru

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *