Ког­да при­виле­гиро­ван­ный скрипт рас­паковы­вает поль­зователь­ский архив, мож­но попытать­ся зас­тавить скрипт записать файл за пре­дела­ми целево­го катало­га. Сегод­ня раз­берем такой обход в Python-модуле tarfile. По пути получим пер­вичный дос­туп через уяз­вимый веб‑интерфейс Wing FTP, вытащим из его кон­фигура­ции хеш пароля, под­берем пароль с уче­том соли и най­дем раз­решен­ную sudo-коман­ду.

На­ша цель — получить пра­ва супер­поль­зовате­ля на машине WingData с учеб­ной пло­щад­ки Hack The Box. Уро­вень задания — лег­кий, опе­раци­онная сис­тема — Linux.

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся с при­мене­нием средств ано­ними­зации и вир­туали­зации. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

 

Разведка

 

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

10.129.42.224 wingdata.htb

За­пус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Оно поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

Са­мый извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи такого скрип­та:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '
' ',' | sed s/,$//)
nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом выпол­няет­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное, с исполь­зовани­ем встро­енных скрип­тов (опция -A).

Под­робнее про работу с Nmap читай в статье «Nmap с самого начала. Осва­иваем раз­ведку и ска­ниро­вание сети».

Результат работы скрипта
Ре­зуль­тат работы скрип­та

Ска­нер нашел два откры­тых пор­та:

  • 22 — служ­ба OpenSSH 9.2p1;
  • 80 — веб‑сер­вер Apache 2.4.66.

Справка: брутфорс учеток

Пос­коль­ку в начале про­хож­дения у нас нет учет­ных дан­ных, нет и смыс­ла изу­чать служ­бы, которые всег­да тре­буют авто­риза­ции (нап­ример, SSH). Единс­твен­ное, что мы можем делать здесь, — это переби­рать пароли брут­форсом, но у машин с HTB поч­ти всег­да есть дру­гое про­хож­дение. В жиз­ни таких вари­антов может не быть, к тому же есть шан­сы подоб­рать пароль или получить его при помощи соци­аль­ной инже­нерии.

По­вер­хность ата­ки неболь­шая, поэто­му под­робнее про­ана­лизи­руем сайт на веб‑сер­вере.

Главная страница сайта
Глав­ная стра­ница сай­та
 

Точка входа

На глав­ной стра­нице сай­та находим ссыл­ку на дру­гой сайт на новом под­домене ftp.wingdata.htb.

Ошибка обращения к сайту
Ошиб­ка обра­щения к сай­ту

Об­новим запись в фай­ле /etc/hosts и откро­ем новый сайт.

10.129.42.224 wingdata.htb ftp.wingdata.htb

Так мы находим панель управле­ния Wing FTP.

Страница авторизации
Стра­ница авто­риза­ции

Справка: поиск готовых эксплоитов

При пен­тесте луч­ше все­го искать экс­пло­иты в Google, пос­коль­ку этот поис­ковик заг­лядыва­ет и в лич­ные бло­ги, и в самые раз­ные отче­ты. Уско­рят дело спе­циали­зиро­ван­ные базы вро­де Exploit-DB — там час­то мож­но обна­ружить под­ходящие вари­анты. Если ты работа­ешь в спе­циали­зиро­ван­ной ОС вро­де Kali Linux, то эта база у тебя уже есть и для поис­ка мож­но исполь­зовать ути­литу searchsploit.

Под­робнее о CVE читай в статье «CVE с самого начала. Учим­ся искать информа­цию об уяз­вимос­тях».

Поиск эксплоитов в Google
По­иск экс­пло­итов в Google

По пер­вой же ссыл­ке находим уяз­вимость CVE-2025-47812, которая поз­воля­ет уда­лен­но выпол­нить код на сер­вере с Wing FTP Server.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии