HTB Extension. Пентестим плагин для Gitea и сбегаем из Docker - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
24-03-2023, 09:55
HTB Extension. Пентестим плагин для Gitea и сбегаем из Docker - «Новости»
Рейтинг:
Категория: Новости

Hack The Box. Уро­вень — «слож­ный».

warning


Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.



 

Разведка


 

Сканирование портов


До­бав­ляем IP-адрес машины в /etc/hosts:


10.10.11.171 extension.htb

И запус­каем ска­ниро­вание пор­тов.


Читайте также - Для того, чтобы поднять настроение и зарядиться положительной энергией на целый день рекомендуется смотреть красивые картинки, поделки и многое другое. Торт королева посмотреть.

Справка: сканирование портов


Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.


На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:


ports=$(nmap -p- --min-rate=500 $1 | grep^[0-9] cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).



Ре­зуль­тат работы скрип­та

Мы наш­ли два откры­тых пор­та: 22 — служ­ба OpenSSH 7.6p1 и 80 — веб‑сер­вер Nginx 1.14.0. Начина­ем, конеч­но же, с сай­та.


Глав­ная стра­ница сай­та http://extension.htb

На сай­те видим ука­зан­ный домен, который добав­ляем в файл /etc/hosts.


10.10.11.171 extension.htb snippet.htb

Так как он реаль­ный, мы можем прос­каниро­вать под­домены. Я исполь­зую ска­нер ffuf.



Справка: сканирование веба c ffuf


Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.


Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:




  • -w — сло­варь (я исполь­зую сло­вари из набора SecLists);


  • -t — количес­тво потоков;


  • -u — URL;


  • -r — выпол­нять редирек­ты;


  • -fs — филь­тро­вать стра­ницы по раз­меру;


  • -fc — исклю­чить из резуль­тата отве­ты с кодом 403.


Мес­то перебо­ра помеча­ется сло­вом FUZZ.



Ко­ман­да получа­ется сле­дующая:


ffuf -u 'http://snippet.htb/' -r -wsubdomains-top1million-110000.txt -t 256 -H 'Host: FUZZ.snippet.htb' --fl 30
Ре­зуль­тат ска­ниро­вания под­доменов с помощью ffuf

Так находим еще два под­домена, которые тоже добав­ляем в файл /etc/hosts. Там най­дем сер­висы Gitea и RoundCube.


10.10.11.171 extension.htb snippet.htb dev.snippet.htb mail.snippet.htb
Глав­ная стра­ница http://dev.snippet.htb
Глав­ная стра­ница http://mail.snippet.htb

В Gitea можем без авто­риза­ции пос­мотреть сущес­тву­ющих поль­зовате­лей.


Поль­зовате­ли Gitea

Ска­ниро­вание катало­гов на поль­зователь­ском сай­те тоже ничего не дало.


ffuf -u 'http://snippet.htb/FUZZ' -r -wdirectory_2.3_medium_lowercase.txt -t 256
Ре­зуль­тат ска­ниро­вания катало­гов с помощью ffuf 

Точка входа


Тог­да пос­мотрим на поль­зователь­ский сайт через Burp. Нас инте­ресу­ет Burp History.


Вклад­ка Burp History

В коде стра­ницы видим исполь­зование какого‑то API. Изу­чив его под­робнее, находим воз­можность не толь­ко получать раз­ную информа­цию, но и дам­пить ее.


API для дам­па информа­ции

Пер­вым делом я решил пос­мотреть на поль­зовате­лей сай­та, но это получит­ся толь­ко пос­ле авто­риза­ции.


Зап­рос стра­ницы /users

А вот при зап­росе дам­па нам отве­чают, что мы не ука­зали нуж­ный параметр. То есть никакой авто­риза­ции не тре­бует­ся.


Зап­рос стра­ницы /management/dump

Так как нам инте­рес­на информа­ция о поль­зовате­лях, в качес­тве зна­чения будем исполь­зовать users. Но имя парамет­ра нуж­но будет переб­рать. Раз ответ при­шел в фор­мате JSON, переда­вать параметр мы будем так же. Для перебо­ра я исполь­зовал Burp Intruder.


Burp Intruder — вклад­ка Positions
Ре­зуль­тат перебо­ра име­ни парамет­ра

И находим наз­вание нуж­ного парамет­ра — download. Ответ очень боль­шой, поэто­му сох­раня­ем в файл и выводим в jq.


По­лучен­ные дан­ные

Нам дос­тупны хеши паролей поль­зовате­лей, поэто­му для перебо­ра поп­робу­ем узнать алго­ритм с помощью hashid.


Рас­позна­вание алго­рит­ма хеширо­вания

В качес­тве алго­рит­ма шиф­рования, ско­рее все­го, исполь­зует­ся SHA-256. Давай выберем из спис­ка все пары логинов и паролей.


За­тем мож­но все пос­ледова­тель­нос­ти .htbn заменить дво­ето­чием, тог­да мы получим стро­ки типа логин:пароль. Отправ­ляем спи­сок прог­рамме John the Ripper и ука­зыва­ем фор­мат хеша. Спус­тя нес­коль­ко секунд получим пароль.


Ре­зуль­тат перебо­ра хешей

С получен­ными учет­ными дан­ными мы можем авто­ризо­вать­ся на сай­те.


Глав­ная стра­ница авто­ризо­ван­ного поль­зовате­ля 

Точка опоры


 

Пользовательский сервис


Мы можем перей­ти к снип­петам и соз­дать свой. Так у нас будет воз­можность менять и уда­лять его.


Дос­тупные снип­петы

При изме­нении снип­пета переда­ются его парамет­ры и тип: пуб­личный или нет. Тог­да я решил переб­рать иден­тифика­тор снип­пета, что­бы узнать, как работа­ет кон­троль дос­тупа к изме­нению парамет­ров. И у нас получи­лось сде­лать пуб­личным чей‑то снип­пет.


Зап­рос на пуб­ликацию снип­пета
Дос­тупные снип­петы

Прос­мотрим вытащен­ный нами снип­пет и най­дем там HTTP-заголо­вок базовой аутен­тифика­ции. Декоди­руем стро­ку Base64 и получа­ем учет­ные дан­ные для поль­зовате­ля jean.


Со­дер­жимое снип­пета
Учет­ные дан­ные поль­зовате­ля

С получен­ными учет­ными дан­ными можем авто­ризо­вать­ся в Gitea. Там нам дос­тупен один про­ект.


Ре­пози­торий extension 

Gitea


Сам про­ект — это пла­гин бра­узе­ра для быс­тро­го опо­веще­ния об ошиб­ках. В нас­трой­ках про­екта находим соав­тора, это нам при­годит­ся.


Со­авто­ры про­екта

Прос­матри­вая исто­рию изме­нений, обра­щаем вни­мание, что при пуб­ликации сооб­щения его текст дол­жен филь­тро­вать­ся.


Ста­рый филь­тр сооб­щений

На­ходим подоб­ный фраг­мент в коде текуще­го парамет­ра.


Но­вый филь­тр сооб­щений

Из сооб­щения уда­ляет­ся любая пос­ледова­тель­ность сим­волов, если она зак­лючена в тре­уголь­ные скоб­ки, то есть похожа на HTML-тег. Так­же если при­сутс­тву­ет пос­ледова­тель­ность сим­волов, при­веден­ных в перемен­ной filter. Но в самом регуляр­ном выраже­нии ошиб­ка, так уда­лит­ся толь­ко пер­вое вхож­дение пос­ледова­тель­нос­ти в тегах. Про­верим это, для чего запус­тим веб‑сер­вер и отпра­вим сле­дующую стро­ку:


qwe<qwe><img src="http://10.10.14.7/test">
От­прав­ка сооб­щения
Опуб­ликован­ное сооб­щение
HTB Extension. Пентестим плагин для Gitea и сбегаем из Docker - «Новости»
Ло­ги веб‑сер­вера

В логах веб‑сер­вера уви­дим под­клю­чение, зна­чит, мож­но про­экс­плу­ати­ровать хра­нимую XSS.


 

Хранимая XSS


Hack The Box. Уро­вень — «слож­ный». warning Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками. Разведка Сканирование портов До­бав­ляем IP-адрес машины в /etc/hosts: 10. 10. 11. 171 extension. htb И запус­каем ска­ниро­вание пор­тов. Читайте также - Для того, чтобы поднять настроение и зарядиться положительной энергией на целый день рекомендуется смотреть красивые картинки, поделки и многое другое. Торт королева посмотреть. Справка: сканирование портов Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да. На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та: ports = $(nmap -p- --min-rate =500 $1 | grep ^_

Теги: CSS

Просмотров: 433
Комментариев: 0:   24-03-2023, 09:55
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: