Нашей целью будет получение рута на машине Interface с площадки Hack The Box. Уровень сложности отмечен как средний.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /:
10.10.11.200 interface.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Нашли всего два открытых порта:
- 22 — служба OpenSSH 7.6p1;
- 80 — веб‑сервер Nginx 1.14.0.
Поэтому сразу обследуем веб‑сервер и поищем потенциальные точки входа.
Точка входа
Просматривая запрос в Burp History, находим новый поддомен.
Добавляем найденный домен в файл /. Но при попытке обратиться к нему получаем только сообщение о том, что файл не найден.
10.10.11.200 interface.htb prd.m.rendering-api.interface.htb
Попробуем поискать скрытые файлы и каталоги. Я долгое время рекомендовал для этого утилиту ffuf, но теперь перешел на feroxbuster.
При запуске используем следующие параметры:
-
-u— URL; -
-w— словарь; -
-t— количество потоков; -
-d— глубина сканирования.
feroxbuster -u http://prd.m.rendering-api.interface.htb/ -w directory_2.3_medium_lowercase.txt -d 1 -t 256
Нашли каталог vendor, но поиск внутри него ничего не дал. Тогда я решил повторить сканирование, но уже с помощью Burp Intruder: он предоставляет больше данных для выбора нужных страниц.
В итоге находим каталог /, который отвечает кодом 404, но содержимое ответа не такое же, как при запросе директории /. Поскольку мы имеем дело с API, выполняем новое сканирование не только методом GET, но и методом POST. Второй как раз и дал результат.
Так обнаружим одну конечную точку API — /, которая сообщает о том, что нужно предоставить параметры в формате JSON. Теперь вернемся к каталогу / и в нем тоже поищем подкаталоги.
Находим каталог dompdf. Если поискать это слово в Google, то найдем репозиторий PHP-библиотеки dompdf, конвертирующей страницы HTML в PDF.
Точка опоры
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
