Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

HTB Love. Захватываем веб-сервер на Windows и Apache через SSRF

Содержание статьи

  • Разведка. Сканирование портов
  • Точка входа
  • Точка опоры
  • Локальное повышение привилегий

В этой статье я покажу, как под­делка сер­верных зап­росов (SSRF) может помочь при ком­про­мета­ции хос­та. Так­же мы изу­чим метод повыше­ния при­виле­гий через опцию AlwaysInstallElevated. В этом нам поможет машина низ­кого уров­ня слож­ности под наз­вани­ем Love с пло­щад­ки Hack The Box.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка. Сканирование портов

Ад­рес машины — 10.10.10.239, добав­ляем его в /etc/hosts.

10.10.10.239 love.htb

И ска­ниру­ем пор­ты.

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Ре­зуль­тат работы скрип­та

Ви­дим мно­жес­тво откры­тых пор­тов и работа­ющих на них служб:

  • пор­ты 80, 5000 — веб‑сер­вер Apache 2.4.46;
  • порт 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC);
  • порт 139 — служ­ба имен NetBIOS;
  • порт 443 — веб‑сер­вер Apache 2.4.46 + OpenSSL 1.1.1j;
  • порт 445 — служ­ба SMB;
  • порт 3306 — СУБД MySQL;
  • порт 5040 — неиз­вес­тно;
  • пор­ты 5985, 5986 — служ­ба уда­лен­ного управле­ния Windows (WinRM).

Пер­вым делом про­веря­ем, что нам может дать SMB (коман­да smbmap -H love.htb), но для ано­нима ничего не дос­тупно. Поэто­му перек­люча­емся на веб. При ска­ниро­вании пор­та 443 мы получи­ли информа­цию из сер­тифика­та, отку­да узна­ем о еще одном сай­те — staging.love.htb. Этот домен тоже добав­ляем в /etc/hosts.

10.10.10.239 staging.htb

Те­перь вни­матель­но изу­чим оба сай­та в поис­ках точек для вхо­да, имен поль­зовате­лей и дру­гой важ­ной инфы. С love.htb встре­чает нас фор­мой авто­риза­ции, но нам ста­новит­ся извес­тна исполь­зуемая тех­нология — Voting System.

Фор­ма авто­риза­ции love.htb 

Точка входа

Voting System — это нес­ложная голосо­вал­ка, написан­ная на PHP. Навер­няка для нее дол­жны быть готовые экс­пло­иты. Запус­каем searchsploit из Kali Linux и находим сра­зу нес­коль­ко.

По­иск экс­пло­итов с помощью searchsploit

Нас инте­ресу­ют четыре пос­ледних экс­пло­ита:

  • пер­вый экс­плу­ати­рует SQL-инъ­екцию для обхо­да авто­риза­ции;
  • вто­рой даст уда­лен­ное выпол­нение кода через заг­рузку фай­лов, одна­ко мы дол­жны бать авто­ризо­ваны в сис­теме;
  • пред­послед­ний экс­пло­ит даст уда­лен­ное выпол­нение кода без авто­риза­ции;
  • пос­ледний — Time based SQL-инъ­екция, тоже без авто­риза­ции.

    • Источник: xakep.ru

    Читайте также:

    Ответить

    Ваш адрес email не будет опубликован. Обязательные поля помечены *