HTB CrossfitTwo. Применяем на практике UNION SQL Injection, DNS rebinding и NPM Planting

Разведка

Ад­рес машины — 10.10.10.232, добав­ляем его в /etc/hosts как crossfit2.htb и прис­тупа­ем к ска­ниро­ванию пор­тов.

По­луча­ем сле­дующие резуль­таты.

Итак, мы име­ем три откры­тых пор­та:

• 22 — служ­ба OpenSSH 8.4;
• 80 — веб‑сер­вер OpenBSD httpd PHP/7.4.12;
• 8953 — служ­ба Unbound.

Пер­вым делом сто­ит заг­лянуть на дос­тупный сайт.

Сканирование веб-контента

Что­бы ничего не оста­лось незаме­чен­ным, информа­цию на сай­те будем собирать через Proxy. В шап­ке сай­та находим навига­цию, а так­же опре­деля­ем, что пос­ледняя ссыл­ка ведет на дру­гой под­домен: employees.crossfit.htb. Добавим его в файл /etc/hosts, так­же изме­ним име­ющуюся у нас запись с crossfit2.htb на crossfit.htb.

На самом сай­те нас встре­чает фор­ма авто­риза­ции, боль­ше ничего мы там не получим. Так как все наши дей­ствия фик­сирова­ны в Burp, заг­лянем в Burp History. Там мы обна­ружим, что при обра­щении к глав­ной стра­нице дела­ется зап­рос на еще один под­домен.

До­бавим этот под­домен в файл /etc/hosts и пов­торим зап­рос к глав­ной стра­нице. Затем отпра­вим­ся в Burp и про­верим ответ, который вер­нул сер­вер при зап­росе к новому под­домену.

В отве­те видим опо­веще­ние о сме­не про­токо­ла на WebSocket.

Точка входа

WebSocket

WebSocket — это про­токол свя­зи поверх TCP-соеди­нения, пред­назна­чен­ный для обме­на сооб­щени­ями меж­ду бра­узе­ром и веб‑сер­вером в режиме реаль­ного вре­мени. WebSocket осо­бен­но хорош для сер­висов, которые нуж­дают­ся в пос­тоян­ном обме­не дан­ными, нап­ример для онлай­новых игр, тор­говых пло­щадок, чатов.

Пос­ле уста­нов­ления соеди­нения уже нет деления на кли­ент и сер­вер, а есть два рав­ноправ­ных учас­тни­ка обме­на дан­ными. Каж­дый работа­ет сам по себе и, ког­да надо, отправ­ляет дан­ные дру­гому.

Для прос­мотра сооб­щений по про­токо­лу WebSocket перей­дем к Burp WebSocket History. Там находим единс­твен­ное сооб­щение, в содер­жимом которо­го будет при­ветс­твие, информа­ция о коман­де help и какой‑то токен.

Ра­ботать с WebSocket будет удоб­но с помощью инте­рак­тивной кон­соли. Ее нес­ложно орга­низо­вать при помощи Python 3 и модуля websockets.

Пос­ле под­клю­чения нам сра­зу приш­ло зна­комое сооб­щение. Давай поп­робу­ем получить справ­ку. Сооб­щение с коман­дой нуж­но будет отпра­вить тоже в JSON.

В отве­те нам сооб­щают о невер­ном токене, поэто­му пов­торя­ем отправ­ку, но вклю­чаем новый параметр.

На­ше сооб­щение оста­ется без отве­та, а пос­ле пов­торной отправ­ки нам вооб­ще сооб­щают, что токен боль­ше не дей­стви­телен и дают новый токен. Инте­рес­но! Давай поищем фраг­мент кода, который отве­чает за отправ­ку сооб­щений. В панели бра­узе­ра перехо­дим к вклад­ке Debug и находим файл ws.min.js.

В коде находим отправ­ку сооб­щения в парамет­ре message и токена — в парамет­ре token. Отправ­ляем свое сооб­щение в ана­логич­ном фор­мате.

На­конец нам при­шел ответ, отку­да мы узна­ем о трех дос­тупных коман­дах: coaches, classes и memberships.

От­пра­вим все три коман­ды и вни­матель­но пос­мотрим на ответ сер­вера.

Во всех слу­чаях нам вер­нули HTML-код стра­ницы. В пер­вом вари­анте мы получа­ем прос­то информа­цию о тре­нерах, во вто­ром — спи­сок занятий, а вот в ответ на коман­ду memberships заод­но со спис­ком при­езжа­ет выбор опций. Реали­зован он как фун­кция check_availability, в которую переда­ется чис­ло от 1 до 4. Пос­мотрим код этой фун­кции в уже зна­комом фай­ле ws.min.js.

Фун­кция отправ­ляет три парамет­ра:

• message — содер­жит стро­ку available;
• params — чис­ло, передан­ное в фун­кцию;
• token.

В этом сооб­щении я отпра­вил четыре парамет­ра и получил два раз­ных вари­анта отве­та: успешный и нет. При этом мы еще получа­ем пояс­нение в парамет­ре debug. То есть мы отправ­ляем параметр, который сис­тема обра­баты­вает и дает резуль­тат, а зна­чит, это мес­то для тес­тирова­ния!

Даль­ше я написал скрипт на Python 3, который в цик­ле зап­рашива­ет параметр.

Все работа­ет, идем даль­ше.

SQL Injection

Так как ответ выбира­ется в зависи­мос­ти от отправ­ленно­го парамет­ра, пер­вым делом я решил про­верить SQL-инъ­екцию. Бла­го я регуляр­но сос­тавляю сло­вари для тес­тов и нуж­ный как раз имел­ся под рукой. Что­бы исполь­зовать его, нем­ного под­пра­вим код.

При отправ­ке любого сооб­щения, содер­жащего двой­ную кавыч­ку ("), отве­та мы не получа­ем. По этой при­чине исклю­чим из сло­варя любую наг­рузку, содер­жащую этот сим­вол. И пов­торим выпол­нение.

Прос­матри­вая вывод, обна­ружим реак­цию сер­вера на четыре наг­рузки. Смот­рим ком­мента­рий SQL:

• 1 and 1 и 1 and true вер­нет дей­стви­тель­ный ответ;
• 1 and 0 и 1 and false вер­нет наш ввод;
• 1 -- - вер­нет дей­стви­тель­ный ответ.

Я нашел уяз­вимость, и теперь ее нуж­но экс­плу­ати­ровать. Пер­вым делом най­дем наг­рузки для экс­плу­ата­ции, поэто­му сме­ним сло­варь и пов­торим выпол­нение скрип­та.

В резуль­тате есть реак­ция на UNION-наг­рузки. А имен­но при отправ­ке -1 UNION ALL SELECT 1,2# получим ответ, параметр name которо­го содер­жит 2, а при отправ­ке -1 UNION ALL SELECT USER(),SLEEP(5)--, в парамет­ре id отве­та при­сутс­тву­ет имя поль­зовате­ля базы дан­ных. Такая уяз­вимость называ­ется UNION SQL Injection и поз­воля­ет добавить к выбор­ке стол­бцы таб­лицы, которые ранее были нам не вид­ны.

Вер­нем пос­ледние две стро­ки нашего пер­воначаль­ного скрип­та для руч­ной работы и прис­тупим к экс­плу­ата­ции.

Пер­вым делом получим вер­сию базы дан­ных.

На хос­те работа­ет MySQL, поэто­му даль­ше мы будем исполь­зовать ее син­таксис. Получим име­на всех име­ющих­ся баз. Мы можем выводить все­го одну стро­ку, поэто­му исполь­зуем фун­кцию GROUP_CONCAT для объ­еди­нения нес­коль­ких строк в одну, а раз­делите­лем будет про­бел.

Ба­за information_schema слу­жеб­ная, поэто­му нас не инте­ресу­ет. Давай узна­ем при­виле­гии нашего поль­зовате­ля в дру­гих базах.

Мы можем работать как с базой crossfit, так и с базой employees. Для начала получим наз­вания таб­лиц.

В базе crossfit ничего инте­рес­ного не наш­лось — надеж­ду подава­ла таб­лица password_reset, но она ока­залась пус­той.

По­лучим наз­вания стол­бцов в таб­лице employees.

Мы можем получить учет­ные дан­ные для сай­та. Зап­росим име­на, пароли и адре­са элек­трон­ной поч­ты.

У нас есть четыре поль­зовате­ля и хеши от их паролей. С помощью ути­литы hashid опре­делим тип хешей.

На­ибо­лее веро­ятным будет хеш SHA-256 из‑за его популяр­ности, одна­ко с нас­кока сло­мать хеши и авто­ризо­вать­ся на сай­те не выш­ло. Ни в онлай­новых базах, ни с помощью локаль­ного перебо­ра узнать хоть один из про­обра­зов хеша не уда­лось. Поэто­му пос­мотрим, какие еще у нашего поль­зовате­ля базы дан­ных есть при­виле­гии.

Мы можем читать фай­лы на хос­те! Пер­вым делом, конеч­но же, про­чита­ем /etc/passwd.

На­ходим поль­зовате­лей node, david и john, у которых есть воз­можность логинить­ся в сис­тему. А пос­коль­ку мы име­ем дело с OpenBSD, абсо­лют­но все служ­бы тоже отра­жены в этом фай­ле. Прос­мотрев этот спи­сок, отме­тим демон relayd, который может дать нам новые адре­са, и unbound, так как у него есть дос­туп на внеш­ний порт 8953. Сна­чала пос­мотрим нас­трой­ки релея, про­читав файл /etc/relayd.conf.

Так мы находим еще один домен crossfit-club.htb, который добавим в файл /etc/hosts. Сра­зу прос­мотрим одно­имен­ный сайт, который нас встре­чает фор­мой авто­риза­ции.

Так как зап­росы мы по‑преж­нему дела­ем через Burp Proxy, нам это помога­ет опре­делить под­клю­чение неко­его API, о чем говорит обра­щение к /api/auth.

При попыт­ке авто­риза­ции с тес­товыми учет­ными дан­ными обна­ружи­ваем еще одну стра­ницу, которая работа­ет с фор­матом JSON.

К тому же на сай­те име­ется фор­ма регис­тра­ции. Кноп­ка в ней может быть и отклю­чена, но мы можем поп­робовать все рав­но авто­ризо­вать­ся — при помощи Burp Repeater. Получим име­на перемен­ных из исходно­го кода стра­ницы и отпра­вим тес­товые дан­ные на /api/signup. Но в отве­те нам ска­жут, что эта фун­кция дос­тупна толь­ко адми­нис­тра­тору.

Тут пока боль­ше ничего не сде­лать, поэто­му идем даль­ше.