Ес­ли при­виле­гиро­ван­ный сер­вис без филь­тра­ции под­став­ляет дан­ные из XML в шаб­лон, это мож­но исполь­зовать для выпол­нения команд от име­ни дру­гого поль­зовате­ля. В этой статье раз­берем такую инъ­екцию, добь­емся уда­лен­ного выпол­нения команд через уяз­вимый Mirth Connect, под­клю­чим­ся к MariaDB, извле­чем хеш пароля и вос­ста­новим дос­туп по SSH.

На­ша цель — получить пра­ва супер­поль­зовате­ля на машине Interpreter с учеб­ной пло­щад­ки Hack The Box. Уро­вень слож­ности задания — сред­ний, опе­раци­онная сис­тема — Linux.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.129.50.196 interpreter.htb

За­пус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Оно поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции он выбира­ет сле­дующий шаг к получе­нию точ­ки вхо­да.

Са­мый извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи такого скрип­та:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом выпол­няет­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное, с исполь­зовани­ем встро­енных скрип­тов (опция -A).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала. Осва­иваем раз­ведку и ска­ниро­вание сети».

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ска­нер нашел три откры­тых пор­та:

  • 22 — служ­ба OpenSSH 9.2p1;
  • 80 и 443 — веб‑сер­вер Eclipse Jetty.

Справка: брутфорс учеток

Пос­коль­ку в начале про­хож­дения у нас нет учет­ных дан­ных, нет и смыс­ла изу­чать служ­бы, которые всег­да тре­буют авто­риза­ции (нап­ример, SSH). Единс­твен­ное, что мы можем делать здесь, — переби­рать пароли брут­форсом, но у машин с HTB поч­ти всег­да есть дру­гое про­хож­дение. В жиз­ни таких вари­антов может не быть, к тому же есть шан­сы подоб­рать пароль или получить его при помощи соци­аль­ной инже­нерии.

Главная страница сайта
Глав­ная стра­ница сай­та
 

Точка входа

На глав­ной стра­нице сай­та есть ссыл­ка для ска­чива­ния фай­ла webstart.jnlp. Фай­лы с рас­ширени­ем .jnlp — это дес­крип­торы для запус­ка Java-при­ложе­ний через тех­нологию Java Web Start. Открыв ска­чан­ный файл в тек­сто­вом редак­торе, мож­но узнать адрес заг­ружа­емо­го при­ложе­ния и дру­гую информа­цию.

Содержимое файла webstart.jnlp
Со­дер­жимое фай­ла webstart.jnlp

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии