warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

По резуль­татам ска­ниро­вания име­ем все­го три откры­тых пор­та:

• 22 — служ­ба OpenSSH 8.2p1;
  


• 80 — веб‑сер­вер Apache 2.4.41;
  


• 1234 — веб‑сер­вер Python 3.8.10.
  

На SSH идти нет смыс­ла, порт 1234, видимо, был открыт дру­гим игро­ком, что­бы ска­чивать с сер­вера фай­лы, поэто­му оста­ется идти толь­ко на веб‑сер­вер на 80-м пор­те. А там, как отра­жено в http-title, выпол­няет­ся редирект на http://eforenzics.htb. Добав­ляем этот домен в /etc/hosts и смот­рим сайт.

Точка входа

На сай­те находим сер­вис для ана­лиза изоб­ражения и фор­му для заг­рузки ана­лизи­руемо­го фай­ла.

При попыт­ке заг­рузить какой‑нибудь отличный от изоб­ражений фор­мат получа­ем ошиб­ку, то есть сра­зу заг­рузить PHP-шелл не вый­дет. Тог­да заг­ружа­ем кар­тинку в PNG и получа­ем ссыл­ку на готовый отчет.

От­чет пред­став­ляет собой обыч­ный вывод прог­раммы exiftool.

Од­нако мы узна­ли вер­сию прог­раммы — 12.37. Это уже неп­лохая зацеп­ка.

Точка опоры

Теги: CSS