HTB Love. Захватываем веб-сервер на Windows и Apache через SSRF - «Новости»

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка. Сканирование портов

Ад­рес машины — 10.10.10.239, добав­ляем его в /etc/hosts.

И ска­ниру­ем пор­ты.

Ви­дим мно­жес­тво откры­тых пор­тов и работа­ющих на них служб:

• пор­ты 80, 5000 — веб‑сер­вер Apache 2.4.46;


• порт 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC);


• порт 139 — служ­ба имен NetBIOS;


• порт 443 — веб‑сер­вер Apache 2.4.46 + OpenSSL 1.1.1j;


• порт 445 — служ­ба SMB;


• порт 3306 — СУБД MySQL;


• порт 5040 — неиз­вес­тно;


• пор­ты 5985, 5986 — служ­ба уда­лен­ного управле­ния Windows (WinRM).

Пер­вым делом про­веря­ем, что нам может дать SMB (коман­да smbmap -H love.htb), но для ано­нима ничего не дос­тупно. Поэто­му перек­люча­емся на веб. При ска­ниро­вании пор­та 443 мы получи­ли информа­цию из сер­тифика­та, отку­да узна­ем о еще одном сай­те — staging.love.htb. Этот домен тоже добав­ляем в /etc/hosts.

Те­перь вни­матель­но изу­чим оба сай­та в поис­ках точек для вхо­да, имен поль­зовате­лей и дру­гой важ­ной инфы. Сайт love.htb встре­чает нас фор­мой авто­риза­ции, но нам ста­новит­ся извес­тна исполь­зуемая тех­нология — Voting System.

Точка входа

Voting System — это нес­ложная голосо­вал­ка, написан­ная на PHP. Навер­няка для нее дол­жны быть готовые экс­пло­иты. Запус­каем searchsploit из Kali Linux и находим сра­зу нес­коль­ко.

Нас инте­ресу­ют четыре пос­ледних экс­пло­ита:

1. Пер­вый экс­плу­ати­рует SQL-инъ­екцию для обхо­да авто­риза­ции.


2. Вто­рой даст уда­лен­ное выпол­нение кода через заг­рузку фай­лов, одна­ко мы дол­жны быть авто­ризо­ваны в сис­теме.


3. Пред­послед­ний экс­пло­ит даст уда­лен­ное выпол­нение кода без авто­риза­ции.


4. Пос­ледний — Time based SQL-инъ­екция, тоже без авто­риза­ции.