HTB Faculty. Атакуем веб-сервер через mPDF и повышаем привилегии с помощью Linux capabilities - «Новости»

warning

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та:

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Сканирование веб контента

Поп­робу­ем поис­кать скры­тые катало­ги и фай­лы при помощи ffuf.

Справка: сканирование веба c ffuf

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:

• 
  
• 
  -u — URL;
• 
  
• 
  -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
• 
  
• 
  -t — количес­тво потоков;
• 
  
• 
  -r — выпол­нять редирек­ты;
• 
  
• 
  -fs — филь­тро­вать стра­ницы по раз­меру.
• 
  

За­пус­каем с нуж­ными парамет­рами:

Ни­чего инте­рес­ного не находим, поэто­му прой­дем­ся по дос­тупным катало­гам.

На­ходим каталог admin и пов­торя­ем ска­ниро­вание фай­лов в нем.

Са­мая инте­рес­ная из най­ден­ных стра­ниц — авто­риза­ция для адми­нов.

Точка входа

Ра­ботать с вебом я рекомен­дую через Burp Proxy. Пос­мотрим зап­рос и ответ при авто­риза­ции. Узна­ем, что в слу­чае невер­ной пары из логина и пароля в отве­те прос­то получим циф­ру 3.

Ес­ли есть фор­ма авто­риза­ции, зна­чит, нуж­но поп­робовать все вари­анты ее обхо­да. Я это делаю по сло­варю с помощью Burp Intruder.

На­ходим нес­коль­ко наг­рузок c вари­анта­ми отве­та 3. При этом ошиб­ка SQL рас­кры­вает путь к фай­лу.

Так­же при­сутс­тву­ют ответ 1. Ско­рее все­го, это показа­тель успешной авто­риза­ции.

Ис­поль­зуем най­ден­ную наг­рузку и заходим на сайт.

Пос­мотрим, что здесь есть инте­рес­ного. К при­меру, уяз­вимой может быть тех­нология фор­мирова­ния отче­та в фор­мате PDF.

Сно­ва смот­рим цепоч­ку зап­росов в Burp Proxy. Видим, что отправ­ляет­ся зап­рос с парамет­ром pdf, где переда­ются закоди­рован­ные в Base64 дан­ные. Затем нас редирек­тит на стра­ницу /mpdf/tmp/<doc>.pdf.

Burp Inspector поз­воля­ет нам авто­мати­чес­ки декоди­ровать эти дан­ные.

Ви­дим, что переда­ется таб­лица в HTML. Ско­рее все­го, исполь­зует­ся какая‑то уже готовая тех­нология пре­обра­зова­ния фор­мата, а в пути ука­зан каталог mpdf. Тог­да я решил най­ти эту тех­нологию по клю­чево­му сло­ву. Одна­ко сра­зу же нашел готовый экс­пло­ит.

Точка опоры

Уяз­вимость в mPDF поз­воля­ет получать про­изволь­ные фай­лы с уда­лен­ного хос­та в качес­тве вло­жения в сге­нери­рован­ном PDF-докумен­те. Сос­тавим наг­рузку, исполь­зовав най­ден­ный экс­пло­ит. Для тес­та поп­робу­ем про­читать файл /etc/passwd.