В этой статье я покажу, как под­делка сер­верных зап­росов (SSRF) может помочь при ком­про­мета­ции хос­та. Так­же мы изу­чим метод повыше­ния при­виле­гий через опцию AlwaysInstallElevated. В этом нам поможет машина низ­кого уров­ня слож­ности под наз­вани­ем Love с пло­щад­ки Hack The Box.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка. Сканирование портов

Ад­рес машины — 10.10.10.239, добав­ляем его в /etc/hosts.

10.10.10.239 love.htb

И ска­ниру­ем пор­ты.

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1
Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ви­дим мно­жес­тво откры­тых пор­тов и работа­ющих на них служб:

  • пор­ты 80, 5000 — веб‑сер­вер Apache 2.4.46;
  • порт 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC);
  • порт 139 — служ­ба имен NetBIOS;
  • порт 443 — веб‑сер­вер Apache 2.4.46 + OpenSSL 1.1.1j;
  • порт 445 — служ­ба SMB;
  • порт 3306 — СУБД MySQL;
  • порт 5040 — неиз­вес­тно;
  • пор­ты 5985, 5986 — служ­ба уда­лен­ного управле­ния Windows (WinRM).

Пер­вым делом про­веря­ем, что нам может дать SMB (коман­да smbmap -H love.htb), но для ано­нима ничего не дос­тупно. Поэто­му перек­люча­емся на веб. При ска­ниро­вании пор­та 443 мы получи­ли информа­цию из сер­тифика­та, отку­да узна­ем о еще одном сай­те — staging.love.htb. Этот домен тоже добав­ляем в /etc/hosts.

10.10.10.239 staging.htb

Те­перь вни­матель­но изу­чим оба сай­та в поис­ках точек для вхо­да, имен поль­зовате­лей и дру­гой важ­ной инфы. Сайт love.htb встре­чает нас фор­мой авто­риза­ции, но нам ста­новит­ся извес­тна исполь­зуемая тех­нология — Voting System.

Форма авторизации love.htb
Фор­ма авто­риза­ции love.htb
 

Точка входа

Voting System — это нес­ложная голосо­вал­ка, написан­ная на PHP. Навер­няка для нее дол­жны быть готовые экс­пло­иты. Запус­каем searchsploit из Kali Linux и находим сра­зу нес­коль­ко.

Поиск эксплоитов с помощью searchsploit
По­иск экс­пло­итов с помощью searchsploit

Нас инте­ресу­ют четыре пос­ледних экс­пло­ита:

  1. Пер­вый экс­плу­ати­рует SQL-инъ­екцию для обхо­да авто­риза­ции.
  2. Вто­рой даст уда­лен­ное выпол­нение кода через заг­рузку фай­лов, одна­ко мы дол­жны быть авто­ризо­ваны в сис­теме.
  3. Пред­послед­ний экс­пло­ит даст уда­лен­ное выпол­нение кода без авто­риза­ции.
  4. Пос­ледний — Time based SQL-инъ­екция, тоже без авто­риза­ции.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии