Категория > Новости > HTB Hancliffe. Разбираем технику Socket Reuse - «Новости»

HTB Hancliffe. Разбираем технику Socket Reuse - «Новости»


8-03-2022, 00:00. Автор: Агафья
dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:




  • -w — сло­варь (я исполь­зую сло­вари из набора SecLists);


  • -t — количес­тво потоков;


  • -u — URL;


  • -fc — исклю­чить из резуль­тата отве­ты с кодом 403.


За­даем нуж­ные парамет­ры и запус­каем его:


ffuf -uhttp://hancliffe.htb/FUZZ -t 256 -wdirectory_2.3_medium_lowercase.txt
HTB Hancliffe. Разбираем технику Socket Reuse - «Новости»
Ре­зуль­тат ска­ниро­вания катало­гов с помощью ffuf

В ито­ге находим один новый каталог, при зап­росе которо­го нам воз­вра­щают код отве­та 302 — редирект на дру­гой адрес. Если открыть этот адрес в бра­узе­ре, нас перенап­равят на /nuxeo/Maintenance.


Стра­ница /Maintenance/

Та­кой стра­ницы не сущес­тву­ет, поэто­му про­дол­жим искать катало­ги и фай­лы в /maintenance/.


ffuf -uhttp://hancliffe.htb/maintenance/FUZZ -t 256 -wfiles_interesting.txt
Ре­зуль­тат ска­ниро­вания фай­лов с помощью ffuf

Ви­дим мно­го пос­ледова­тель­нос­тей, на которые сер­вер стран­но реаги­рует, а так­же файл index.jsp.


Стра­ница /Maintenance/index.jsp 

Точка входа


Тут я решил про­верить раз­ные вари­анты обхо­да про­вер­ки дос­тупа к катало­гу. Для перебо­ра пос­ледова­тель­нос­тей исполь­зовал Burp Pro. В резуль­тате уда­лось получить три воз­можных вари­анта отве­та от сер­вера.




  1. Дос­туп к стра­нице Apache Tomcat.


    Отоб­ражение стра­ницы в Burp Render


  2. От­вет, сооб­щающий, что стра­ницы не сущес­тву­ет.


    Отоб­ражение стра­ницы в Burp Render


  3. Пе­реад­ресацию на дру­гой адрес при помощи HTTP-заголов­ка Location.


    Отоб­ражение стра­ницы в Burp Render


Пос­ледний вари­ант меня заин­тересо­вал. Я поп­робовал еще раз переб­рать фай­лы, но с пос­ледова­тель­ностью /..;/ для обхо­да кон­тро­ля дос­тупа.


ffuf -u 'http://hancliffe.htb/maintenance/..;/FUZZ' -t 256 -wfiles_interesting.txt
Ре­зуль­тат перебо­ра катало­гов

Из получен­ного спис­ка наиболь­ший инте­рес вызыва­ет стра­ница login.jsp.


Стра­ница /maintenance/..;/login.jsp 

Точка опоры


В самом низу стра­ницы видим упо­мина­ние исполь­зуемой тех­нологии — nuxeo 10.2. Это зна­чит, что мож­но поис­кать готовые экс­пло­иты. Есть спе­циали­зиро­ван­ные базы дан­ных вро­де Exploit-DB, но куда боль­ше резуль­татов даст Google.


По­иск «nuxeo 10.2 exploit»

На­ходим ссыл­ку на ре­пози­торий с PoC для уяз­вимос­ти CVE-2019-16341. Это баг типа SSTI — вклю­чение шаб­лонов на сто­роне сер­вера. Потен­циаль­но он может дать нам воз­можность выпол­нять про­изволь­ный код на сер­вере. Но сна­чала нем­ного под­пра­вим PoC под наши усло­вия. Нач­нем с исполь­зуемой на сер­вере опе­раци­онной сис­темы (стро­ки 16 и 17).


Ис­прав­ленный код экс­пло­ита

Ука­зыва­ем нуж­ный URL (стро­ки 38 и 123).


Ис­прав­ленный код экс­пло­ита
Ис­прав­ленный код экс­пло­ита

Вро­де бы все готово, запус­тим скрипт и зап­росим текуще­го поль­зовате­ля.


Экс­плу­ата­ция уяз­вимос­ти

Код успешно выпол­нен, и мы получа­ем нор­маль­ный реверс‑шелл. Мож­но вос­поль­зовать­ся удоб­ным он­лай­новым генера­тором шел­лов. Выс­тавля­ем свой локаль­ный адрес и порт, в ответ получа­ем коман­ду для запус­ка лис­тенера и бэк­конек­та.


Он­лайн‑генера­тор шелл‑кода

Вы­пол­няем код через экс­пло­ит и получа­ем обратное под­клю­чение.


Вы­пол­нение кода на PowerShell
По­луче­ние бэк­коннек­та
Перейти обратно к новости