Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,486
- Баллы
- 155
Сегодня я покажу, как можно атаковать приложение, использующее разделяемую память в Linux. Мы внедрим свои данные, чтобы добиться выполнения команд в привилегированном режиме. Но для начала проэксплуатируем баги в веб‑приложениях Teampass и BookStack для получения учетных данных и сессии на сервере.
Наша конечная цель — получение прав суперпользователя на машине Checker с учебной площадки . Уровень задания — сложный.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.56 checker.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел три открытых порта:
Взглянем на порты веб‑сервера. На первом нас встречает форма авторизации BookStack, на втором развернут сервис Teampass.
Страница авторизации BookStack
Страница авторизации Teampass
Точка входа
В Burp History можно увидеть обращение к домену vault.checker.htb.
Burp History
Обновляем запись в файле /etc/hosts. На новом домене встретим уже знакомый нам BookStack.
10.10.11.56 checker.htb vault.checker.htb
Так как делать больше нечего, стоит проверить, есть ли для обнаруженных веб‑приложений готовые эксплоиты.
Поиск эксплоитов в Google
Поиски привели меня к эксплоиту для уязвимости .
Наша конечная цель — получение прав суперпользователя на машине Checker с учебной площадки . Уровень задания — сложный.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.56 checker.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел три открытых порта:
- 22 — служба OpenSSH 8.9p1;
- порты 80 и 8080 — веб‑сервер Apache.
Взглянем на порты веб‑сервера. На первом нас встречает форма авторизации BookStack, на втором развернут сервис Teampass.
Страница авторизации BookStack
Страница авторизации Teampass
Точка входа
В Burp History можно увидеть обращение к домену vault.checker.htb.
Burp History
Обновляем запись в файле /etc/hosts. На новом домене встретим уже знакомый нам BookStack.
10.10.11.56 checker.htb vault.checker.htb
Так как делать больше нечего, стоит проверить, есть ли для обнаруженных веб‑приложений готовые эксплоиты.
Поиск эксплоитов в Google
Поиски привели меня к эксплоиту для уязвимости .