HTB Titanic. Эксплуатируем RCE в ImageMagick

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Локальное повышение привилегий

Сегодня я покажу, как можно использовать уязвимую версию ImageMagick для выполнения кода в Linux от имени рута. Однако сначала нам потребуется проэксплуатировать LFI и добыть данные из базы Gitea, чтобы получить оболочку на сервере.

Наша цель — получение прав суперпользователя на машине Titanic с учебной площадки Hack The Box. Уровень задания — легкий.

warning

Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.55    titanic.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Сканер нашел два открытых порта:

22 — служба OpenSSH 8.9p1;
80 — веб‑сервер Apache 2.4.52.

С SSH мы пока что ничего сделать не можем, поэтому начинаем с веб‑сервера.

Точка входа

В меню сайта ничего интересного, поэтому воспользуемся единственной доступной на данный момент функцией Book Your Trip.

Заполняем форму тестовыми данными и нажимаем кнопку Submit. В этот момент загружается какой‑то JSON-файл.

Просмотрим, как этот процесс выглядит в Burp Proxy. Данные из формы отправляются POST-запросом на страницу /book, после чего происходит редирект на страницу /download. Файл для скачивания указан в параметре ticket.

Проверим, нет ли здесь уязвимости LFI — локального включения файлов. Для этого через Burp Repeater выполним запрос на страницу /download и в параметре ticket укажем файл /etc/passwd с обходом каталога.

info

Подробнее о принципах работы LFI читай в статье «File Inclusion и Path Traversal. Разбираем две базовые веб‑уязвимости».

Уязвимость присутствует, а значит, мы можем читать произвольные файлы. Так как в качестве веб‑сервера используется приложение на Python, первым делом где‑то рядом с текущим каталогом поищем характерный для таких проектов файл app.py — основной файл приложения.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Новый рекорд: Cloudflare отразила DDoS-атаку мощностью 7,3 Тбит/с

Далее → Microsoft уберет устаревшие драйверы из Windows Update