HTB Nocturnal. Захватываем машину на Linux через ISPConfig

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Продвижение
Локальное повышение привилегий

В этом райтапе я покажу, как IDOR может быть проэксплуатирован для получения приватных данных других пользователей. Затем используем RCE-уязвимость в функции бэкапа сайта, проникнем на веб‑сервер и повысим привилегии через PHP Code Injection в популярном сервисе для хостеров ISPConfig.

Наша конечная цель — получение прав суперпользователя на машине Nocturnal с учебной площадки Hack The Box. Уровень задания — легкий.

warning

Подключаться к машинам с HTB рекомендуется с применением средств анонимизации и виртуализации. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.64    nocturnal.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Сканер нашел два открытых порта:

22 — служба OpenSSH 8.2p1;
80 — веб‑сервер Nginx 1.18.0.

Точка входа

На сайте можно зарегистрироваться, а для нас это просто обязательно, ведь авторизованному пользователю будет доступно больше возможностей.

На главной странице появилась форма загрузки файла.

Главная страница авторизованного пользователя

При попытке загрузить файл получаем ошибку, в которой перечислены разрешенные форматы файлов.

Для теста загружаем любой подходящий файл. После загрузки он отобразится в списке.

Интерес представляет ссылка на загруженный файл http://nocturnal.htb/view.php?username=ralf&file=privacy.odt. Помимо файла, в ней указано и имя пользователя. Если здесь не реализован должный контроль, то мы сможем получить файлы других пользователей.

Отправим запрос на получение файла в Burp Repeater (комбинации клавиш Ctrl-R и Ctrl-Shift-R) и изменим имя пользователя на любое несуществующее. В ответе получаем ошибку User not found. Раз так, то мы сможем легко перебрать всех зарегистрированных пользователей и посмотреть, будет ли возникать ошибка.

Отправляем запрос в Burp Intruder (Ctrl-I и Ctrl-Shift-I) и брутим пользователей по списку. В итоге получаем имена пользователей. В профиле amanda есть приватный документ.

Скачиваем его и находим пароль, который, судя по содержимому документа, используется во всех сервисах.

Точка опоры

С полученными учетными данными авторизуемся на сайте от имени пользователя amanda.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

← Ранее Произошла утечка исходников банковского трояна ERMAC

Далее → APT-группировки стали чаще использовать фишинг