В этом рай­тапе я покажу, как экс­плу­ати­ровать RCE в популяр­ной прог­рамме exiftool, затем мы получим жур­нал безопас­ности Windows и про­ана­лизи­руем логи. При повыше­нии при­виле­гий раз­ревер­сим прос­тень­кий ELF-файл.

Зах­ватывать мы будем тре­ниро­воч­ную машину Investigation с пло­щад­ки Hack The Box. Ее уро­вень слож­ности — сред­ний.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.197 investigation.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Результат работы скрипта
Ре­зуль­тат работы скрип­та

По резуль­татам ска­ниро­вания име­ем все­го три откры­тых пор­та:

  • 22 — служ­ба OpenSSH 8.2p1;
  • 80 — веб‑сер­вер Apache 2.4.41;
  • 1234 — веб‑сер­вер Python 3.8.10.

На SSH идти нет смыс­ла, порт 1234, видимо, был открыт дру­гим игро­ком, что­бы ска­чивать с сер­вера фай­лы, поэто­му оста­ется идти толь­ко на веб‑сер­вер на 80-м пор­те. А там, как отра­жено в http-title, выпол­няет­ся редирект на http://eforenzics.htb. Добав­ляем этот домен в /etc/hosts и смот­рим сайт.

10.10.11.197 investigation.htb eforenzics.htb
Главная страница сайта
Глав­ная стра­ница сай­та
 

Точка входа

На сай­те находим сер­вис для ана­лиза изоб­ражения и фор­му для заг­рузки ана­лизи­руемо­го фай­ла.

Страница загрузки файла
Стра­ница заг­рузки фай­ла

При попыт­ке заг­рузить какой‑нибудь отличный от изоб­ражений фор­мат получа­ем ошиб­ку, то есть сра­зу заг­рузить PHP-шелл не вый­дет. Тог­да заг­ружа­ем кар­тинку в PNG и получа­ем ссыл­ку на готовый отчет.

Результат загрузки файла
Ре­зуль­тат заг­рузки фай­ла

От­чет пред­став­ляет собой обыч­ный вывод прог­раммы exiftool.

Результат анализа файла
Ре­зуль­тат ана­лиза фай­ла

Од­нако мы узна­ли вер­сию прог­раммы — 12.37. Это уже неп­лохая зацеп­ка.

 

Точка опоры

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии