dirsearch и DIRB. Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры: -w — сло­варь (я исполь­зую сло­вари из набора SecLists); -t — количес­тво потоков; -u — URL; -fc — исклю­чить из резуль­тата отве­ты с кодом 403. За­даем нуж­ные парамет­ры и запус­каем его: ffuf -u http:/ / hancliffe. htb/ FUZZ -t 256 -w directory_ 2. 3_ medium_ lowercase. txt Ре­зуль­тат ска­ниро­вания катало­гов с помощью ffufВ ито­ге находим один новый каталог, при зап­росе которо­го нам воз­вра­щают код отве­та 302 — редирект на дру­гой адрес. Если открыть этот адрес в бра­узе­ре, нас перенап­равят на /nuxeo/Maintenance. Стра­ница /Maintenance/Та­кой стра­ницы не сущес­тву­ет, поэто­му про­дол­жим искать катало­ги и фай­лы в /maintenance/. ffuf -u http:/ / hancliffe. htb/ maintenance/ FUZZ -t 256 -w files_ interesting. txt Ре­зуль­тат ска­ниро­вания фай­лов с помощью ffufВи­дим мно­го пос­ледова­тель­нос­тей, на которые сер­вер стран­но реаги­рует, а так­же файл index.jsp. Стра­ница /Maintenance/index.jsp Точка входа Тут я решил про­верить раз­ные вари­анты обхо­да про­вер­ки дос­тупа к катало­гу. Для перебо­ра пос­ледова­тель­нос­тей исполь­зовал Burp Pro. В резуль­тате уда­лось получить три воз­можных вари­анта отве­та от сер­вера. Дос­туп к стра­нице Apache Tomcat. Отоб­ражение стра­ницы в Burp Render От­вет, сооб­щающий, что стра­ницы не сущес­тву­ет. Отоб­ражение стра­ницы в Burp Render Пе­реад­ресацию на дру­гой адрес при помощи HTTP-заголов­ка Location. Отоб­ражение стра­ницы в Burp Render Пос­ледний вари­ант меня заин­тересо­вал. Я поп­робовал еще раз переб­рать фай­лы, но с пос­ледова­тель­ностью /;/ для обхо­да кон­тро­ля дос­тупа. ffuf -u 'http:// hancliffe. htb/ maintenance/;/ FUZZ' -t 256 -w files_ interesting. txt Ре­зуль­тат перебо­ра катало­говИз получен­ного спис­ка наиболь­ший инте­рес вызыва­ет стра­ница login.jsp. Стра­ница /maintenance/;/login.jsp Точка опоры В самом низу стра­ницы видим упо­мина­ние исполь­зуемой тех­нологии — nuxeo 10.2. Это зна­чит, что мож­но поис­кать готовые экс­пло­иты. Есть спе­циали­зиро­ван­ные базы дан­ных вро­де Exploit-DB, но куда боль­ше резуль­татов даст Google. По­иск «nuxeo 10.2 exploit»На­ходим ссыл­ку на ре­пози­торий с PoC для уяз­вимос­ти CVE-2019-16341. Это баг типа SSTI — вклю­чение шаб­лонов на сто­роне сер­вера. Потен­циаль­но он может дать нам воз­можность выпол­нять про­изволь­ный код на сер­вере. Но сна­чала нем­ного под­пра­вим PoC под наши усло­вия. Нач­нем с исполь­зуемой на сер­вере опе­раци­онной сис­темы (стро­ки 16 и 17). Ис­прав­ленный код экс­пло­итаУка­зыва­ем нуж­ный URL (стро­ки 38 и 123). Ис­прав­ленный код экс­пло­ита Ис­прав­ленный код экс­пло­итаВро­де бы все готово, запус­тим скрипт и зап­росим текуще­го поль­зовате­ля. Экс­плу­ата­ция уяз­вимос­тиКод успешно выпол­нен, и мы получа­ем нор­маль­ный реверс‑шелл. Мож­но вос­поль­зовать­ся удоб­ным он­лай­новым генера­тором шел­лов. Выс­тавля­ем свой локаль­ный адрес и порт, в ответ получа­ем коман­ду для запус­ка лис­тенера и бэк­конек­та. Он­лайн‑генера­тор шелл‑кодаВы­пол­няем код через экс­пло­ит и получа­ем обратное под­клю­чение. Вы­пол­нение кода на PowerShell По­луче­ние бэк­коннек­та