Содержание статьи
Наша цель — получение прав суперпользователя на машине BoardLight с учебной площадки Hack The Box. Уровень задания — легкий.
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /
:
10.10.11.11 boardlight.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1
Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A
).
По результатам сканирования имеем всего два открытых порта:
- 22 — служба OpenSSH 8.2p1;
- 80 — веб‑сервер Apache 2.4.41.
Как обычно в таких ситуациях, сразу просматриваем, что же интересного есть на сайте.
Точка входа
Внимательно просматривая сайт, находим только почтовый адрес info@board.
, который раскрывает нам реальное доменное имя.
Раз нашли новое доменное имя, обновляем содержимое файла /
.
10.10.11.11 boardlight.htb board.htb
Для дальнейшего продвижения будет полезно просканировать каталоги. Возьмем для этого feroxbuster.
Справка: сканирование веба c feroxbuster
Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде dirsearch, DIRB или ffuf. Я предпочитаю feroxbuster.
При запуске указываем следующие параметры:
-
-u
— URL; -
-w
— словарь (я использую словари из набора SecLists); -
-t
— количество потоков; -
-d
— глубина сканирования.
Задаем параметры и запускаем:
feroxbuster -u http://board.htb/ -w directory_2.3_medium_lowercase.txt -d 1 -t 128
Результатов много, но интересных среди них нет. Так как у нас есть реальный домен сайта, попробуем просканировать поддомены. Для этого будем использовать уже упомянутый ffuf.
Параметры при запуске такие:
-
-w
— словарь (также из набора SecLists); -
-t
— количество потоков; -
-u
— URL; -
-H
— HTTP-заголовок.
Место перебора отмечаем словом FUZZ.
Вот что у нас выйдет:
ffuf -u http://board.htb -H 'Host: FUZZ.board.htb' -w subdomains-bitquark-top100000.txt -t 256
Но в вывод сканера попадают все варианты из переданного списка, поэтому необходимо установить фильтр. Фильтровать будем по размеру страницы, который указываем в параметре -fs
.
ffuf -u http://board.htb -H 'Host: FUZZ.board.htb' -w subdomains-bitquark-top100000.txt -t 256 -fs 15949
В итоге удалось найти еще один поддомен, а значит, обновляем запись в файле /
, после чего можно просмотреть новый сайт через браузер.
10.10.11.11 boardlight.htb board.htb crm.board.htb
Нас встречает не какой‑то самописный сайт, а форма авторизации CRM Dolibarr версии 17.0.0.
Точка опоры
Первым делом стоит проверить, есть ли для обнаруженной CMS готовые эксплоиты. Сразу идем в Google.
Первая ссылка по запросу «Dolibarr 17.0.0 exploit» ведет на GitHub к эксплоиту для уязвимости CVE-2023-30253. Эта уязвимость позволяет аутентифицированному пользователю обойти фильтр <
за счет изменения регистра, а затем загрузить и выполнить произвольный код.
Эксплоиту из репозитория требуется передать в параметрах URL и учетные данные пользователя Dolibarr, а также адрес и порт листенера для реверс‑шелла.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее