HTB Gavel. Эксплуатируем инъекции в Runkit для PHP, чтобы захватить веб-сервер

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Продвижение
Локальное повышение привилегий

Сегодня я покажу процесс эксплуатации SQL-инъекции в расширении runkit, которое часто ставят на веб‑сервер для работы проектов на PHP. Получив сессию на хосте, подменим файлы с настройками, чтобы выполнить код в чекере конфигов через runkit PHP и повысить привилегии.

Наша цель — получение прав суперпользователя на машине Gavel с площадки Hack The Box. Уровень сложности — средний.

warning

Подключаться к машинам на HTB лучше через средства анонимизации и виртуализации. Не делай этого с компьютеров, где хранятся важные для тебя данные: ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts.

10.129.242.203    gavel.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг почти в любой атаке. Оно помогает атакующему понять, какие службы на хосте принимают соединения. Исходя из этого, он выбирает следующий шаг, чтобы получить точку входа.

Самый известный инструмент для сканирования — Nmap. Улучшить результаты его работы можно с помощью следующего скрипта.

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он работает в два этапа. Сначала выполняется обычное быстрое сканирование, затем — более тщательное, с использованием имеющихся скриптов (опция -A).

Подробнее о работе с Nmap читай в статье «Nmap с самого начала. Осваиваем разведку и сканирование сети».

Сканер нашел два открытых порта:

22 — служба OpenSSH 8.9p1;
80 — служба Apache HTTP Server 2.4.52.

Как обычно в таких случаях, начинаем с сайта на веб‑сервере. Но обрати внимание, что Nmap обнаружил там репозиторий Git.

Точка входа

Раз есть Git, проверим, нет ли еще чего‑нибудь интересного. Для этого просканируем подкаталоги, используя feroxbuster.

Справка: сканирование веба c feroxbuster

Одно из первых действий при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов, чтобы найти скрытую информацию и недоступные обычным посетителям функции. Для этого можно использовать программы вроде dirsearch, DIRB или ffuf. Я предпочитаю feroxbuster.

При запуске указываем следующие параметры:

-u — URL;
-d — глубина сканирования;
-t — количество потоков;
-w — словарь (я использую словари из набора SecLists);
-k — отключает проверку TLS/SSL-сертификата;
-C — фильтрует ответы с определенным статус‑кодом (например, 404).

feroxbuster -k -u http://monitorsfour.htb/ -d 1 -t 128 -C 404 -w files_interesting.txt

Результат сканирования каталогов с помощью feroxbuster

Теперь сдампим весь репозиторий с помощью git-dumper.

python3 git_dumper.py http://gavel.htb/.git gavel

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Поддержка E2E-шифрования в Instagram* будет отключена

Далее → Вымогатели используют малварь Slopoly, созданную с помощью ИИ