Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
HTB Health. Эксплуатируем SSRF от первоначального доступа до захвата хоста
Содержание статьи
- Разведка
- Сканирование портов
- Точка входа
- Точка опоры
- SSRF
- Продвижение
- Gogs SQL Injection
- Локальное повышение привилегий
В этом райтапе я покажу, как искать и эксплуатировать уязвимость SSRF. В дополнение к ней мы заюзаем SQL-инъекцию в GoGits, а затем дополним нашу атаку манипуляцией содержимым базы данных сервиса. Это позволит нам получить критически важные данные и контроль над машиной.
Наша цель — тренировочный стенд Health с площадки Hack The Box. Сложность задачи оценена ее авторами как средняя.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.176 health.htb
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Скрипт нашел два открытых порта: 22 — служба OpenSSH 7.6p1 и 80 — веб‑сервер Apache 2.4.29. Сразу идем на веб‑сервер.
Главная страница сайта http://health.htb
Точка входа
Давай заполним необходимые поля и отправим данные. В полях URL можно указать адрес своего веб‑сервера. Предварительно запустим его:
python3 -m http.server 8080
Форма отправки данных
Логи веб‑сервера
В логах веб‑сервера видим два запроса. Первый — это GET-запрос на указанный Monitored URL, а второй — POST-запрос на Payload URL. Так как http.server не показывает нам полные данные, нужно написать свою реализацию. Давай напишем программу, которая будет выводить HTTP-заголовки, а в случае с POST-запросом — еще и переданные данные.
from http.server import BaseHTTPRequestHandler, HTTPServerimport loggingclass Serv(BaseHTTPRequestHandler): def do_GET(self): print("GET " + str(self.path)) print(str(self.headers)) self.send_response(200) self.send_header('Content-type', 'text/html') self.end_headers() def do_POST(self): content_length = int(self.headers['Content-Length']) post_data = self.rfile.read(content_length) print("POST " + str(self.path)) print(str(self.headers)) print(post_data.decode('utf-8')) self.send_response(200) self.send_header('Content-type', 'text/html') self.end_headers() def log_message(self, format, *args): returnlogging.basicConfig(level=logging.INFO)httpd = HTTPServer(('', 8080), Serv)httpd.serve_forever()httpd.server_close()
Запускаем и делаем повторный запрос.
Результат работы сервера
Видим, что в данных POST-запроса передается информация об указанных URL, а также пометка down. Давай попробуем дать какой‑нибудь ответ на GET-запрос. Для этого изменим метод do_GET:
class Serv(BaseHTTPRequestHandler): def do_GET(self): print("GET " + str(self.path)) print(str(self.headers)) self.send_response(200) self.send_header('Content-type', 'text/html') self.end_headers() self.wfile.write("<test>RALF_SERVER<test>".encode('utf-8'))
Логи веб‑сервера
И теперь видим, что в данных POST-запроса нам передают наш же ответ на GET-запрос. Значит, нужно проверить, нет ли здесь возможности для эксплуатации SSRF — то есть возможности подделки запросов.
Точка опоры
SSRF
Первым делом я попробовал добраться до файла /etc/passwd, для чего указал в качестве URL file:///etc/passwd/id_rsa, но получил следующее предупреждение.
Предупреждение при запросе файла
Источник: xakep.ru
