Содержание статьи
Наша цель — получение прав суперпользователя на машине MonitorsThree с учебной площадки Hack The Box. Уровень сложности задания — средний.
warning
Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /:
10.10.11.30 monitorsthree.htb
И запускаем сканирование портов.
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '' ',' | sed s/,$//)nmap -p$ports -A $1Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Сканер нашел два интересных нам открытых порта:
- 22 — служба OpenSSH 8.9p1;
- 80 — веб‑сервер Nginx 1.18.0.
В логах сканера видно, что с 80-го порта выполняется редирект на домен monitorsthree..
Точка входа
На сайте есть форма логина, а также возможность сбросить пароль.
В них можно поискать возможности для инъекций, но давай сначала закончим с разведкой. Следующий шаг — сканирование сайта на предмет интересных каталогов и файлов.
Справка: сканирование веба c ffuf
Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде dirsearch и DIRB.
Я предпочитаю легкий и очень быстрый ffuf. При запуске указываем следующие параметры:
-
-w— словарь (я использую словари из набора SecLists); -
-t— количество потоков; -
-u— URL; -
-H— HTTP-заголовок.
Место перебора помечается словом FUZZ.
Задаем все параметры и запускаем ffuf:
ffuf -u http://monitorsthree.htb/ -H 'Host: FUZZ.monitorsthree.htb' -w subdomains-top1million-110000.txt -t 128
Утилита пошла выводить все варианты из словаря, поэтому нужно задать фильтр, например по размеру ответа (параметр -fs).
ffuf -u http://monitorsthree.htb/ -H 'Host: FUZZ.monitorsthree.htb' -w subdomains-top1million-110000.txt -t 128 -fs 13560
Так находим еще один поддомен. Обновляем запись в файле / и смотрим сайт через браузер.
10.10.11.30 monitorsthree.htb cacti.monitorsthree.htb
Перед нами система Cacti. Это опенсорсная платформа для оперативного мониторинга. Здесь же мы узнаём версию — 1.2.26 — и можем сразу проверить, есть ли для нее готовые эксплоиты.
В этой версии есть уязвимость CVE-2024-25641, которая позволяет импортировать свой шаблон и таким образом получить удаленное выполнение кода. По описанию эксплоита можно понять, что для эксплуатации требуется авторизация, а учетных данных у нас пока нет.
Вернемся на первый сайт и проверим формы авторизации и смены пароля базовыми нагрузками. Так, нагрузка admin' вернет «хороший» ответ, а нагрузка admin' — «плохой».
Точка опоры
В браузере переходим в режим разработчика и копируем в один файл сначала запрос на сервер, а затем передаваемые данные.
Продолжение доступно только участникам
Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
