HTB Health. Эксплуатируем SSRF от первоначального доступа до захвата хоста - «Новости»
12-01-2023, 00:00. Автор: Pearcy
warning
Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /:
10.10.11.176 health.htb
Справка: сканирование портов
Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.
Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:
ports=$(nmap -p- --min-rate=500 $1 | grep^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).
Скрипт нашел два открытых порта: 22 — служба OpenSSH 7.6p1 и 80 — веб‑сервер Apache 2.4.29. Сразу идем на веб‑сервер.
Точка входа
Давай заполним необходимые поля и отправим данные. В полях URL можно указать адрес своего веб‑сервера. Предварительно запустим его:
python3 -m http.server 8080
В логах веб‑сервера видим два запроса. Первый — это GET-запрос на указанный Monitored URL, а второй — POST-запрос на Payload URL. Так как http. не показывает нам полные данные, нужно написать свою реализацию. Давай напишем программу, которая будет выводить HTTP-заголовки, а в случае с POST-запросом — еще и переданные данные.
from http.server import BaseHTTPRequestHandler, HTTPServerimport loggingclass Serv(BaseHTTPRequestHandler): def do_GET(self): print("GET " + str(self.path)) print(str(self.headers)) self.send_response(200) self.send_header('Content-type', 'text/html') self.end_headers() def do_POST(self): content_length = int(self.headers['Content-Length']) post_data = self.rfile.read(content_length) print("POST " + str(self.path)) print(str(self.headers)) print(post_data.decode('utf-8')) self.send_response(200) self.send_header('Content-type', 'text/html') self.end_headers() def log_message(self, format, *args): returnlogging.basicConfig(level=logging.INFO)httpd = HTTPServer(('', 8080), Serv)httpd.serve_forever()httpd.server_close()Запускаем и делаем повторный запрос.
Видим, что в данных POST-запроса передается информация об указанных URL, а также пометка down. Давай попробуем дать какой‑нибудь ответ на GET-запрос. Для этого изменим метод do_GET:
class Serv(BaseHTTPRequestHandler): def do_GET(self): print("GET " + str(self.path)) print(str(self.headers)) self.send_response(200) self.send_header('Content-type', 'text/html') self.end_headers() self.wfile.write("<test>RALF_SERVER<test>".encode('utf-8'))
И теперь видим, что в данных POST-запроса нам передают наш же ответ на GET-запрос. Значит, нужно проверить, нет ли здесь возможности для эксплуатации SSRF — то есть возможности подделки запросов.
Точка опоры
SSRF
Первым делом я попробовал добраться до файла /, для чего указал в качестве URL file:///, но получил следующее предупреждение.
Перейти обратно к новости