Содержание статьи
Наша цель — получение прав суперпользователя на машине Skyfall с учебной площадки Hack The Box. Уровень ее сложности — «безумный».
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /:
10.10.11.254 skyfall.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Сканер нашел всего два открытых порта:
- 22 — служба OpenSSH 8.9p1;
- 80 — веб‑сервер Nginx 1.18.0.
Сразу проверяем, что нам покажет веб‑сервер, и видим главную страницу сайта.
Точка входа
Изучая сайт, находим ссылку на новый для нас поддомен.
Прежде чем смотреть этот сайт, сначала обновим запись в /:
10.10.11.254 skyfall.htb demo.skyfall.htb
На найденном сайте нас встречает форма авторизации.
Так как сайт работает в демо‑режиме, в форме отображаются учетные данные guest:.
Просматривая страницы сайта, доходим до раздела Minio Metrics, где нас встречает ошибка 403, связанная с ограничением доступа.
Обход 403
Поскольку используется веб‑сервер Nginx, можно попробовать применить специальные последовательности в пути страницы, чтобы обойти контроль доступа. Я перебрал разные нагрузки с помощью Burp Intruder и определил два пути, которые возвращают содержимое страницы metrics.
В представленной таблице видим minio_endpoint_url. Поскольку мы нашли еще один поддомен, добавим и его в /.
10.10.11.254 skyfall.htb demo.skyfall.htb prd23-s3-backend.skyfall.htb
А теперь посмотрим, что там.
Точка опоры
Minio — это высокопроизводительное организованное объектное хранилище. Последний публичный эксплоит для Minio — CVE-2023–28432. Он позволяет неавторизованному пользователю получить конфиг, содержащий учетные данные. Эксплуатация очень простая, нужно всего лишь выполнить POST-запрос на страницу /.
Для работы с Minio потребуется консольная утилита mc, скачать которую можно на официальном сайте.
wget https://dl.min.io/client/mc/release/linux-amd64/mc
chmod +x mc
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
