HTB Hancliffe. Разбираем технику Socket Reuse

Разведка

Сканирование портов

Как всег­да, добав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Ви­дим три откры­тых пор­та, при­чем за все три отве­чает веб‑сер­вер Nginx 1.21.0. Но на пор­тах 80 и 8000 рас­положе­ны сай­ты, поэто­му нач­нем с них.

Так мы получа­ем информа­цион­ную стра­ницу Nginx на пор­те 80 и стра­ницу авто­риза­ции Stateless Password Manager на пор­те 8000. Со вто­рым сай­том все более‑менее понят­но, а вот на пер­вом явно может най­тись что‑то, помимо информа­цион­ной стра­нич­ки. Давай поищем! Для перебо­ра катало­гов я буду исполь­зовать ути­литу ffuf.

За­даем нуж­ные парамет­ры и запус­каем его:

В ито­ге находим один новый каталог, при зап­росе которо­го нам воз­вра­щают код отве­та 302 — редирект на дру­гой адрес. Если открыть этот адрес в бра­узе­ре, нас перенап­равят на /nuxeo/Maintenance.

Та­кой стра­ницы не сущес­тву­ет, поэто­му про­дол­жим искать катало­ги и фай­лы в /maintenance/.

Ви­дим мно­го пос­ледова­тель­нос­тей, на которые сер­вер стран­но реаги­рует, а так­же файл index.jsp.

Точка входа

Тут я решил про­верить раз­ные вари­анты обхо­да про­вер­ки дос­тупа к катало­гу. Для перебо­ра пос­ледова­тель­нос­тей исполь­зовал Burp Pro. В резуль­тате уда­лось получить три воз­можных вари­анта отве­та от сер­вера.

1. Дос­туп к стра­нице Apache Tomcat.

   

2. От­вет, сооб­щающий, что стра­ницы не сущес­тву­ет.

   

3. Пе­реад­ресация на дру­гой адрес при помощи HTTP-заголов­ка Location.

   

Пос­ледний вари­ант меня заин­тересо­вал. Я поп­робовал еще раз переб­рать фай­лы, но с пос­ледова­тель­ностью /..;/ для обхо­да кон­тро­ля дос­тупа.

Из получен­ного спис­ка наиболь­ший инте­рес вызыва­ет стра­ница login.jsp.

Точка опоры

В самом низу стра­ницы видим упо­мина­ние исполь­зуемой тех­нологии — nuxeo 10.2. Это зна­чит, что мож­но поис­кать готовые экс­пло­иты. Есть спе­циали­зиро­ван­ные базы дан­ных вро­де Exploit-DB, но куда боль­ше резуль­татов даст Google.

На­ходим ссыл­ку на ре­пози­торий с PoC для уяз­вимос­ти CVE-2019-16341. Это баг типа SSTI — вклю­чение шаб­лонов на сто­роне сер­вера. Потен­циаль­но он может дать нам воз­можность выпол­нять про­изволь­ный код на сер­вере. Но сна­чала нем­ного под­пра­вим PoC под наши усло­вия. Нач­нем с исполь­зуемой на сер­вере опе­раци­онной сис­темы (стро­ки 16 и 17).

Ука­зыва­ем нуж­ный URL (стро­ки 38 и 123).

Вро­де бы все готово, запус­тим скрипт и зап­росим текуще­го поль­зовате­ля.

Код успешно выпол­нен, и мы получа­ем нор­маль­ный реверс‑шелл. Мож­но вос­поль­зовать­ся удоб­ным он­лай­новым генера­тором шел­лов. Выс­тавля­ем свой локаль­ный адрес и порт, в ответ получа­ем коман­ду для запус­ка лис­тенера и бэк­конек­та.

Вы­пол­няем код через экс­пло­ит и получа­ем обратное под­клю­чение.