HTB Breadcrumbs. Атакуем Apache на Windows и эксплуатируем уязвимость JWT

Разведка. Сканирование портов

Ма­шина име­ет IP-адрес 10.10.10.228, который я добав­ляю в /etc/hosts, что­бы мож­но было обра­щать­ся к дан­ному хос­ту по име­ни.

Лю­бая ата­ка начина­ется со ска­ниро­вания откры­тых на хос­те пор­тов. Дела­ем это при помощи скрип­та, где через Nmap про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание пор­тов, а затем из вывода берут­ся все пор­ты и пов­торя­ется ска­ниро­вание толь­ко обна­ружен­ных пор­тов со скрип­тами (опция -A).

Как это обыч­но быва­ет на машинах с Windows, по резуль­татам ска­ниро­вания име­ем мно­го откры­тых пор­тов:

• порт 22 — служ­ба SSH;
• порт 80 — веб‑сер­вер Apache 2.4.46;
• порт 135 — служ­ба MS RPC;
• порт 139 — служ­ба имен NetBIOS;
• порт 443 — веб‑сер­вер Apache 2.4.46;
• порт 445 — служ­ба SMB;
• порт 3306 — служ­ба MySQL.

Ос­таль­ное не пред­став­ляет для нас инте­реса.

На SSH нам сей­час ловить нечего, пос­коль­ку уче­ток у нас нет, да и SMB для ано­нима инте­реса не пред­став­ляет. Раз есть веб‑сайт, начинать луч­ше все­го с него.

Сайт поз­воля­ет искать кни­ги по биб­лиоте­ке.

Ана­лизи­ровать стра­ницы луч­ше все­го через Burp Suite, который сох­ранит и наг­лядно отоб­разит все зап­росы и отве­ты.

Прос­матри­вая стра­ницы, обра­тим вни­мание на спо­соб зап­роса кни­ги: наз­вание HTML-фай­ла с кни­гой переда­ется исполня­емо­му фай­лу, который затем вклю­чит этот файл в ответ.

Точка входа. Эксплуатация LFI

Это потен­циаль­ная уяз­вимость LFI, которую сто­ит про­верить. Есть хорошее средс­тво для тес­тов LFI — LFI Suite. Но так как оно работа­ет мед­ленно, то возь­мем из него толь­ко сло­варь и выпол­ним тест с помощью Burp Intruder (в вер­сии Pro ста­вим 120 потоков).

Филь­тру­ем по раз­меру отве­та и видим, что уда­лось про­читать файл access.log. А чуть ниже в тек­сте ошиб­ки отме­чаем для себя пол­ный путь к веб‑при­ложе­нию.

Да­вай взгля­нем, что инте­рес­ного может дать код в фай­ле bookController.php. Для это­го переда­дим сле­дующее зна­чение парамет­ра:

Так, в фай­ле про­исхо­дит вклю­чение фай­ла db.php, в котором обыч­но под­клю­чает­ся база дан­ных, и при этом, ско­рее все­го, исполь­зуют­ся учет­ные дан­ные, хра­нящи­еся в откры­том виде. Про­веря­ем, зап­росив book=../db/db.php&method=1.

Так мы находим учет­ку от базы дан­ных. Но что с ней теперь делать, если к дос­тупным нам сер­висам она не под­ходит? Поищем, нет ли еще чего‑нибудь на сай­те.

Для перебо­ра путей с целью поис­ка скры­тых стра­ниц (тех, на которые сна­ружи нет ссы­лок) обыч­но исполь­зуют прог­раммы вро­де dirsearch, dirb или более быс­трый gobuster. Но я пос­леднее вре­мя исполь­зую встро­енные средс­тва Burp Suite. Перех­ватыва­ем зап­рос в Burp Proxy и отправ­ляем в Burp Intruder. Затем отме­чаем позицию для перебо­ра, выс­тавля­ем сло­варь и количес­тво потоков, пос­ле чего выпол­няем ата­ку.

Так мы находим нес­коль­ко дирек­торий, часть из которых нам уже извес­тна. Но мы еще не были в катало­ге portal, а пос­ле перехо­да нас редирек­тит на http://breadcrumbs.htb/portal/login.php.

Удоб­но, что мы можем пос­мотреть исходник это­го фай­ла, сде­лав зап­рос book=../portal/login.php&method=1.

В исходном коде видим под­клю­чение еще одно­го нового для нас фай­ла — authController.php. Тем же спо­собом гля­нем и его.

А вот уже здесь находим пря­мую ссыл­ку на admins.php, перей­дя по которой най­дем очень мно­го поль­зовате­лей. У нас есть пароль для под­клю­чения к базе дан­ных, одна­ко это нам никак не помога­ет, и мы вынуж­дены идти даль­ше.

В исходном коде находим уже боль­ше инте­рес­ной информа­ции.

В коде мы видим исполь­зование JWT, сек­ретный ключ и вызов фун­кции makesession. Ее код находим в под­клю­чаемом фай­ле cookie.php.

Точка опоры

JSON Web Token

JSON Web Token (JWT) сос­тоит из трех час­тей: заголов­ка (header), полез­ной наг­рузки (payload) и под­писи. Заголо­вок и полез­ная наг­рузка пред­став­ляют собой объ­екты JSON, при этом наг­рузка может быть любой — это имен­но те кри­тичес­кие дан­ные, которые переда­ются при­ложе­нию. А вот заголо­вок содер­жит опре­делен­ные поля: алго­ритм и тип токена. Тре­тий эле­мент вычис­ляет­ся на осно­вании пер­вых и зависит от выб­ранно­го алго­рит­ма. Токены могут быть переко­диро­ваны в ком­пак­тное пред­став­ление: к заголов­ку и полез­ной наг­рузке при­меня­ется алго­ритм кодиро­вания Base64-URL, пос­ле чего добав­ляет­ся под­пись и все три эле­мен­та раз­деля­ются точ­ками.