warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

IP машины — 10.10.10.231, заносим его в /etc/hosts:

И ска­ниру­ем пор­ты.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та.

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

По резуль­татам ска­ниро­вания име­ем все­го один откры­тый порт — 80, там откли­кает­ся веб‑сер­вер Microsoft IIS httpd 10.0.

Прис­тупа­ем к осмотру сай­та.

Сканирование веб-контента

На самом сай­те зацепить­ся не за что, поэто­му вру­баем перебор катало­гов.

Справка: сканирование веб-сайта

Ска­ниро­вание сай­та методом перебо­ра катало­гов и фай­лов по сло­варю — это одно из пер­вых дей­ствий при пен­тесте веб‑при­ложе­ния. Для это­го обыч­но при­меня­ют dirsearch, DIRB или более быс­трый gobuster. Мы же в этой статье будем исполь­зовать встро­енные средс­тва Burp Suite.

Пе­рех­ватыва­ем зап­рос в Burp Proxy и в кон­текс­тном меню выбира­ем Engagement tools → Discover content. Ука­зыва­ем глу­бину ска­ниро­вания, инте­ресу­ющие нас рас­ширения фай­лов и бэкапов.

Спус­тя нес­коль­ко минут (если ты, как и я, выб­рал 200 потоков для ска­ниро­вания) получим кар­ту сай­та, отталки­ваясь от которой будем опре­делять сле­дующий век­тор ата­ки.

Я пос­мотрел все ком­мента­рии на всех стра­ницах (в кон­текс­тном меню Engagement tools → Find comments), но сно­ва ничего важ­ного. А вот файл products-ajax.php при­нима­ет какие‑то необыч­ные парамет­ры. Закинем этот зап­рос в Burp Repeater для тес­та. В таких слу­чаях сто­ит получить все воз­можные отве­ты от сер­вера при раз­ном количес­тве парамет­ров и даже их раз­ном зна­чении. Так, если уда­лить один из парамет­ров, то получа­ем ошиб­ку, содер­жащую соль. А если изме­нить зна­чение любого из парамет­ров, то нам сооб­щат об обна­руже­нии ата­ки.

Так как исполь­зует­ся соль, параметр h, ско­рее все­го, хеш MD5 от зна­чения парамет­ра order. Если его изме­нить, это при­ведет к ошиб­ке, что под­твержда­ет нашу догад­ку. Что­бы это про­верить, нуж­но поп­робовать все воз­можные вари­анты хеширо­вания с исполь­зовани­ем соли. Их мож­но най­ти в справ­ке к прог­рамме John the Ripper.

Для опре­деле­ния алго­рит­ма нам нуж­но соз­дать сло­варь (word), содер­жащий стро­ку id desc, и файл с хешем и солью (hash), записан­ными через знак дол­лара: hash$salt. Затем переби­раем все воз­можные фор­маты. Что­бы сде­лать это быс­тро, напишем скрипт Bash, который будет пар­сить фор­мат из вывода справ­ки, а затем при­менять его в коман­де бру­та хеша.

Сна­чала уста­новим перенос стро­ки в качес­тве раз­делите­ля (IFS), а потом будем в цик­ле получать каж­дую стро­ку из справ­ки (перемен­ная entry). Для каж­дой такой стро­ки (нап­ример, Format = dynamic_29 type = dynamic_29: md5(utf16($p))) будем пар­сить фор­мат:

1. Ко­ман­дой tr -d ' ' уда­ляем из стро­ки все про­белы (резуль­тат: Format=dynamic_29 type=dynamic_29:md5(utf16($p))).


2. Ко­ман­дой cut -d '=' -f 3 раз­деля­ем стро­ку по сим­волу = и получа­ем третью часть (резуль­тат: dynamic_29:md5(utf16($p))).


3. Ко­ман­дой cut -d ':' -f 1 раз­деля­ем стро­ку по сим­волу : и получа­ем пер­вую часть (резуль­тат: dynamic_29).

За­тем выпол­няем перебор по получен­ному алго­рит­му (john --format=$format --wordlist=word hash). Так выг­лядит пол­ный скрипт:

Для фор­мата dynamic_4 (salt + word) перебор закон­чился успешно. Так мы под­твержда­ем свое пред­положе­ние и получа­ем иско­мый алго­ритм хеширо­вания с исполь­зовани­ем соли.

Точка входа

Те­перь мы можем манипу­лиро­вать зна­чени­ем парамет­ров так, что­бы они обра­баты­вались при­ложе­нием. Текст ошиб­ки натол­кнул меня на мысль, что мож­но было бы написать tamper для sqlmap, хотя мы пока так и не уста­нови­ли дос­товер­но, есть ли здесь воз­можность SQL-инъ­екции.

info

Тем­перы — это скрип­ты для sqlmap, которые пре­обра­зуют его зап­росы.

Этот файл (я наз­вал его sqlmap_tamper.py) нуж­но раз­местить в дирек­тории /usr/share/sqlmap/tamper, пос­ле чего запус­каем sqlmap и про­веря­ем, есть ли уяз­вимость. Нам нуж­но ука­зать наш тем­пер в парамет­ре tamper, задать опцию -p для про­вер­ки, а так­же то, что мы не хотим исполь­зовать кодиро­вание URL.

И мы попали в точ­ку: при­ложе­ние уяз­вимо к time-based SQL-инъ­екции, о чем нам и сооб­щил sqlmap. Эта чудо‑прог­рамма сох­ранила у себя шаб­лон наг­рузки для задан­ного URL, поэто­му мы можем спо­кой­но про­дол­жать работу и дос­тавать необ­ходимые дан­ные — к при­меру, наз­вания баз дан­ных (опция --dbs).

Так мы получа­ем три базы дан­ных: слу­жеб­ная information_schema, тес­товая test и, ско­рее все­го, нуж­ная нам база дан­ных при­ложе­ния — cleaner. Получим все таб­лицы из базы опци­ей --tables, а саму базу ука­зыва­ем в парамет­ре -D.

В базе есть три таб­лицы, и в одной из них дол­жны быть учет­ные дан­ные. Ско­рее все­го, нам подой­дет таб­лица customers. Получим наз­вания стол­бцов опци­ей --columns, ука­зав таб­лицу в парамет­ре -T.

Дей­стви­тель­но, наш­лись учет­ные дан­ные! Давай получим зна­чения (опция --dump) из стол­бцов login и passwords. Стол­бцы ука­зыва­ем через запятую в парамет­ре -C.

Из­вле­чение дан­ных про­исхо­дит очень дол­го, поэто­му поп­робу­ем взло­мать уже получен­ные хеши. Перебор с солью ни к чему не при­вел, поэто­му я поп­робовал взло­мать хеш без соли при помощи md5decrypt.net. Это дало резуль­тат!

Точка опоры

Ав­торизу­емся с получен­ными учет­ными дан­ными на сай­те. Нам теперь откры­вают­ся допол­нитель­ные воз­можнос­ти, одна из них — сме­на цве­товой темы. При­чем инте­ресен сам спо­соб ее сме­ны: тема уста­нав­лива­ется через переда­чу GET-парамет­ра theme.

Сто­ит про­тес­тировать GET-парамет­ры так же, как и в прош­лый раз. Если мы изме­ним или уда­лим один из них, то нам сооб­щат об обна­руже­нии ата­ки. Но раз мы зна­ем, как осу­щест­вля­ется под­пись, давай ука­жем зна­чение, которое будет обра­бота­но сер­вером, к при­меру test.

Уязвимость RFI

Как мы видим из тек­ста ошиб­ки, из ука­зан­ной нами дирек­тории под­клю­чает­ся файл header.inc (стро­ка 12) с помощью фун­кции file_get_contents, и если в фай­ле отсутс­тву­ет пос­ледова­тель­ность сим­волов <? (стро­ка 18), то он добав­ляет­ся как include (стро­ка 19).

Та­ким обра­зом, обра­щение к фай­лу про­исхо­дит дваж­ды, а это озна­чает уяз­вимость к ата­ке типа race condition: перед про­вер­кой и вклю­чени­ем фай­ла его содер­жимое воз­можно изме­нить.

Теги: CSS