Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,483
- Баллы
- 155
Сегодня я покажу, как можно использовать уязвимую версию ImageMagick для выполнения кода в Linux от имени рута. Однако сначала нам потребуется проэксплуатировать LFI и добыть данные из базы Gitea, чтобы получить оболочку на сервере.
Наша цель — получение прав суперпользователя на машине Titanic с учебной площадки . Уровень задания — легкий.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.55 titanic.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел два открытых порта:
С SSH мы пока что ничего сделать не можем, поэтому начинаем с веб‑сервера.
Главная страница сайта
Точка входа
В меню сайта ничего интересного, поэтому воспользуемся единственной доступной на данный момент функцией Book Your Trip.
Форма Book Your Trip
Заполняем форму тестовыми данными и нажимаем кнопку Submit. В этот момент загружается какой‑то JSON-файл.
Загрузка файла
Просмотрим, как этот процесс выглядит в Burp Proxy. Данные из формы отправляются POST-запросом на страницу /book, после чего происходит редирект на страницу /download. Файл для скачивания указан в параметре ticket.
Запрос в Burp Proxy
Проверим, нет ли здесь уязвимости LFI — локального включения файлов. Для этого через Burp Repeater выполним запрос на страницу /download и в параметре ticket укажем файл /etc/passwd с обходом каталога.
Содержимое файла /etc/passwd
Уязвимость присутствует, а значит, мы можем читать произвольные файлы. Так как в качестве веб‑сервера используется приложение на Python, первым делом где‑то рядом с текущим каталогом поищем характерный для таких проектов файл app.py — основной файл приложения.
Содержимое файла app.py
Наша цель — получение прав суперпользователя на машине Titanic с учебной площадки . Уровень задания — легкий.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.55 titanic.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Результат работы скрипта
Сканер нашел два открытых порта:
- 22 — служба OpenSSH 8.9p1;
- 80 — веб‑сервер Apache 2.4.52.
С SSH мы пока что ничего сделать не можем, поэтому начинаем с веб‑сервера.
Главная страница сайта
Точка входа
В меню сайта ничего интересного, поэтому воспользуемся единственной доступной на данный момент функцией Book Your Trip.
Форма Book Your Trip
Заполняем форму тестовыми данными и нажимаем кнопку Submit. В этот момент загружается какой‑то JSON-файл.
Загрузка файла
Просмотрим, как этот процесс выглядит в Burp Proxy. Данные из формы отправляются POST-запросом на страницу /book, после чего происходит редирект на страницу /download. Файл для скачивания указан в параметре ticket.
Запрос в Burp Proxy
Проверим, нет ли здесь уязвимости LFI — локального включения файлов. Для этого через Burp Repeater выполним запрос на страницу /download и в параметре ticket укажем файл /etc/passwd с обходом каталога.
Содержимое файла /etc/passwd
Уязвимость присутствует, а значит, мы можем читать произвольные файлы. Так как в качестве веб‑сервера используется приложение на Python, первым делом где‑то рядом с текущим каталогом поищем характерный для таких проектов файл app.py — основной файл приложения.
Содержимое файла app.py