В этот раз про­экс­плу­ати­руем RCE в XWiki. Получив учет­ные дан­ные сис­темно­го поль­зовате­ля, исполь­зуем уяз­вимость типа RCE в Netdata и повысим при­виле­гии до root.

На­ша цель — получе­ние прав супер­поль­зовате­ля на машине Editor с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — лег­кий.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в файл /etc/hosts:

10.10.11.80 editor.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ска­нер нашел три откры­тых пор­та:

  • 22 — служ­ба OpenSSH 8.9p1;
  • 80 — веб‑сер­вер Nginx 1.18.0;
  • 8080 — веб‑сер­вер Jetty 10.0.20.

Нам дос­тупны два сай­та: на 80‑м пор­те — какой‑то редак­тор кода, а на 8080‑м раз­вернут дви­жок XWiki 15.10.8.

Главная страница сайта
Глав­ная стра­ница сай­та
Главная страница XWiki
Глав­ная стра­ница XWiki
 

Точка входа

XWiki — опен­сор­сная плат­форма для соз­дания вики‑сай­тов, баз зна­ний, объ­ектных хра­нилищ и при­ложе­ний. Она помога­ет орга­низо­вывать сов­мес­тную работу, хра­нить докумен­тацию, управлять струк­туриро­ван­ными дан­ными и собирать нас­тра­иваемые при­ложе­ния пря­мо внут­ри плат­формы. Под­держи­вает рас­ширения через пла­гины, кон­троль вер­сий, нас­трой­ку прав дос­тупа и интегра­цию с внеш­ними сер­висами.

Пер­вым делом про­веря­ем, есть ли для най­ден­ной CMS готовые экс­пло­иты. Обыч­но дос­таточ­но поис­ка в Google.

Поиск эксплоитов в Google
По­иск экс­пло­итов в Google

Так мы узна­ём, что в XWiki 15.10.8 есть уяз­вимость CVE-2025-24893, которая поз­воля­ет получить уда­лен­ное выпол­нение кода на сер­вере. Она появ­ляет­ся из‑за того, что мак­рос SolrSearch некор­рек­тно обра­баты­вает поль­зователь­ский ввод при фор­мирова­нии RSS-фида, что дает воз­можность внед­рить и выпол­нить код на Groovy.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии