Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
В сегодняшнем райтапе мы проведем атаку на веб‑сервер, используя SQL-инъекцию и ошибку в веб‑приложении Cacti. На сервере найдем учетные данные и повысим привилегии через создание бэкапа при помощи программы Duplicati.
Наша цель — получение прав суперпользователя на машине MonitorsThree с учебной площадки Hack The Box. Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Добавляем IP-адрес машины в /etc/hosts
:
10.10.11.30 monitorsthree.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A
).
Результат работы скрипта
Сканер нашел два интересных нам открытых порта:
В логах сканера видно, что с 80-го порта выполняется редирект на домен monitorsthree.htb
.
Главная страница сайта
На сайте есть форма логина, а также возможность сбросить пароль.
Форма авторизации
В них можно поискать возможности для инъекций, но давай сначала закончим с разведкой. Следующий шаг — сканирование сайта на предмет интересных каталогов и файлов.
Справка: сканирование веба c ffuf
Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде dirsearch и DIRB.
Я предпочитаю легкий и очень быстрый ffuf. При запуске указываем следующие параметры:
-w
— словарь (я использую словари из набора SecLists); -t
— количество потоков; -u
— URL; -H
— HTTP-заголовок. Место перебора помечается словом FUZZ.
Задаем все параметры и запускаем ffuf:
ffuf -u http://monitorsthree.htb/ -H 'Host: FUZZ.monitorsthree.htb' -w subdomains-top1million-110000.txt -t 128
Результат сканирования поддоменов
Утилита пошла выводить все варианты из словаря, поэтому нужно задать фильтр, например по размеру ответа (параметр -fs
).
ffuf -u http://monitorsthree.htb/ -H 'Host: FUZZ.monitorsthree.htb' -w subdomains-top1million-110000.txt -t 128 -fs 13560
Результат сканирования поддоменов
Так находим еще один поддомен. Обновляем запись в файле /etc/hosts
и смотрим сайт через браузер.
10.10.11.30 monitorsthree.htb cacti.monitorsthree.htb
Главная страница сайта Cacti
Перед нами система Cacti. Это опенсорсная платформа для оперативного мониторинга. Здесь же мы узнаём версию — 1.2.26 — и можем сразу проверить, есть ли для нее готовые эксплоиты.
Поиск эксплоитов в Google
В этой версии есть уязвимость CVE-2024-25641, которая позволяет импортировать свой шаблон и таким образом получить удаленное выполнение кода. По описанию эксплоита можно понять, что для эксплуатации требуется авторизация, а учетных данных у нас пока нет.
Описание эксплоита
Вернемся на первый сайт и проверим формы авторизации и смены пароля базовыми нагрузками. Так, нагрузка admin' or 1=1 -- -
вернет «хороший» ответ, а нагрузка admin' and 1=2 -- -
— «плохой».
Хороший ответ сервера
Плохой ответ сервера
В браузере переходим в режим разработчика и копируем в один файл сначала запрос на сервер, а затем передаваемые данные.
Запрос на сервер
Передаваемые данные
Источник: xakep.ru