HTB Retired. Пишем эксплоит ROP + mprotect и используем переполнение буфера

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та.

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

Что же мы наш­ли? Порт 22 — служ­ба OpenSSH 8.4p1, порт 80 — веб‑сер­вер Nginx. Так­же из резуль­татов ска­на Nmap видим редирект, в котором стра­ница переда­ется в качес­тве парамет­ра.

При таком зап­росе стра­ниц сай­та нуж­но сра­зу про­верить, получит­ся ли отоб­разить не тот файл, который был встав­лен раз­работ­чиком. Поп­робу­ем зап­росить /etc/passwd, вос­поль­зовав­шись обхо­дом катало­гов.

Уяз­вимость под­твержде­на, поэто­му перей­дем к экс­плу­ата­ции. Нам нуж­но знать, какие фай­лы читать, поэто­му поищем на сай­те скры­тые стра­ницы. Так как мы уже стол­кну­лись с фор­матами PHP и HTML, то такие стра­ницы и будем искать. Для это­го вос­поль­зуем­ся ска­нером ffuf.

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:

Ко­ман­да сле­дующая:

Наш­ли все­го одну новую стра­ницу — beta..

На стра­нице нуж­но заг­ружать файл лицен­зии, который будет отправ­лен на сле­дующий адрес:

Пос­мотрим, что про­изой­дет с фай­лом даль­ше. Для это­го получим код най­ден­ного обра­бот­чика.

Та­ким обра­зом, заг­ружен­ный через фор­му файл будет отправ­лен при­ложе­нию, которое работа­ет на локаль­ном пор­те 1337. Поп­робу­ем выяс­нить, что это за при­ложе­ние, с помощью LFI. Я запус­тил Burp Intruder и передал ему спи­сок информа­тив­ных фай­лов из Unix.

В резуль­тате ска­ниро­вания узна­ем, что нам дос­тупен в том чис­ле и файл /proc/sched_debug, где и находим про­цесс activate_license и соот­ветс­тву­ющий ему иден­тифика­тор про­цес­са (PID) — 487.

Зная PID про­цес­са, мы можем получить пол­ную коман­дную стро­ку, что даст нам путь к фай­лу.

По­луча­ем пол­ный путь к фай­лу обра­бот­чика, а так­же видим, что порт для прос­лушива­ния переда­ется в качес­тве аргу­мен­та. Ска­чива­ем этот файл на локаль­ный хост для ана­лиза.

Те­перь перей­дем к ана­лизу при­ложе­ния. Каж­дый выбира­ет для себя более удоб­ный инс­тру­мент, но я оста­юсь при­вер­женцем IDA Pro. Закиды­ваем бинарь в деком­пилятор и ищем фун­кцию main.

Итак, при­ложе­ние стан­дар­тным спо­собом откры­вает порт, ожи­дает соеди­нения, и, если оно про­исхо­дит и если фун­кция fork выпол­нена успешно, оно запус­кает фун­кцию activate_license.

В фун­кции activate_license про­исхо­дит бес­кон­троль­ное чте­ние в буфера раз­мером 512 байт.

Та­ким обра­зом, мы наш­ли мес­то для перепол­нения буфера, оста­лось опре­делить­ся со сме­щени­ем наг­рузки и методом экс­плу­ата­ции. Для это­го нуж­но запус­тить прог­рамму в уда­лен­ном отладчи­ке, перепол­нить буфер и пос­мотреть, на каком сме­щении от начала буфера будет вер­шина сте­ка, ког­да прог­рамма упа­дет.

Но при отладке мы не попада­ем в фун­кцию activate_license, поэто­му мне приш­лось запат­чить инс­трук­цию условно­го перехо­да (jnz).

Те­перь сге­нери­руем пос­ледова­тель­ность де Брёй­на, которая поможет быс­тро опре­делить сме­щение.

От­прав­ляем эти дан­ные нашей прог­рамме и пос­ле ошиб­ки выпол­нения смот­рим дан­ные в регис­тре RBP.

Кон­верти­руем получен­ное зна­чение и вычис­ляем сме­щение — 520.

Вы­бирать метод дол­го не приш­лось. Мы можем получить дос­туп к области неис­полня­емой памяти.

Для успешной экс­плу­ата­ции мы отпра­вим вмес­те с дан­ными шелл‑код, с помощью ROP-цепочек сде­лаем этот сег­мент памяти исполня­емым и переда­дим управле­ние на шелл‑код.

Впос­ледс­твии будем допол­нять сле­дующий шаб­лон экс­пло­ита.

Для работы с ROP-цепоч­ками нам пот­ребу­ется кар­та памяти про­цес­са с уда­лен­ного хос­та, получить которую мы можем через LFI.

Для поис­ка ROP-цепочек нам нуж­но получить исполь­зуемую вер­сию libc.

Те­перь можем опре­делить­ся и с самой ROP-цепоч­кой. Нам нуж­но изме­нить пра­ва на блок памяти, и в этом поможет фун­кция mprotect:

Фун­кция при­нима­ет три аргу­мен­та, переда­вать которые мы будем инс­трук­циями pop rdi, pop rsi и pop rdx. Про­верить наличие соот­ветс­тву­ющих цепочек мы можем сле­дующим обра­зом:

Есть все дан­ные для вызова фун­кции mprotect, переда­вать в качес­тве парамет­ров мы будем адрес сте­ка и его раз­мер (получа­ем из кар­ты памяти), тре­тий параметр фун­кции — новые пра­ва, исполь­зуем мас­ку rwx (7). Вот код экс­пло­ита на текущем эта­пе:

Сле­дующей инс­трук­цией ста­нет jmp на адрес в регис­тре RSP (ука­затель сте­ка), так как там будет рас­положен шелл‑код. Но най­ти инс­трук­цию jmp rsp в регис­тре не уда­лось, поэто­му ска­чаем и про­верим дру­гие исполь­зуемые биб­лиоте­ки. Нуж­ную инс­трук­цию обна­ружи­ваем в биб­лиоте­ке libsqlite.

Сам шелл‑код сге­нери­руем с помощью msfvenom из Metasploit Framework.

Пол­ный код экс­пло­ита будет сле­дующим:

За­пус­каем лис­тенер на ука­зан­ном при генера­ции шелл‑кода пор­те (rlwrap -cAr nc -lvp 4321) и выпол­няем экс­пло­ит.

И получа­ем дос­туп к хос­ту.

Мы получи­ли дос­туп к хос­ту, теперь необ­ходимо соб­рать информа­цию. Рыть­ся в сис­теме мож­но дол­го, поэто­му исполь­зуем скрипт PEASS.

Что делать пос­ле того, как мы получи­ли дос­туп в сис­тему? Вари­антов даль­нейшей экс­плу­ата­ции и повыше­ния при­виле­гий может быть очень мно­го, как в Linux, так и в Windows. Что­бы соб­рать информа­цию и наметить цели, мож­но исполь­зовать Privilege Escalation Awesome Scripts SUITE (PEASS) — набор скрип­тов, которые про­веря­ют сис­тему на авто­мате.

Скрипт находит мно­го инте­рес­ного в раз­деле с бэкапа­ми: какой‑то поль­зователь­ский файл /usr/bin/webbackup, служ­бу website_backup, а так­же тай­мер для этой служ­бы. Гля­нем, что собой пред­став­ляет поль­зователь­ский файл.

Это скрипт на Bash, поэто­му прос­мотрим его исходный код.

Этот сце­нарий дол­жен архи­виро­вать при помощи zip все содер­жимое катало­га /var/www/ и сох­ранять резуль­тат в /var/www/. При этом най­ден­ная служ­ба, ско­рее все­го, запус­кает скрипт раз в минуту.

По­доб­ные задания на Hack The Box не новы, и заяд­лые «игро­ки» зна­ют, что делать в дан­ном слу­чае: соз­давать сим­воличес­кую ссыл­ку на дру­гой файл. Тог­да при обра­бот­ке этой ссыл­ки будут про­изве­дены опе­рации с самим фай­лом. Соз­дадим в катало­ге /var/www/ ссыл­ку на при­ват­ный ключ поль­зовате­ля.

Те­перь дож­демся сра­баты­вания скрип­та, разар­хивиру­ем толь­ко что соз­данный архив и заберем желан­ный ключ.

И, под­клю­чив­шись с получен­ным клю­чом, забира­ем флаг поль­зовате­ля.

В домаш­нем катало­ге поль­зовате­ля находим инте­рес­ный про­ект emuemu.

Файл из это­го про­екта уже был упо­мянут в выводе LinPEAS в раз­деле Linux capabilities. Но сна­чала пару слов о том, что же это такое.

В Linux поль­зователь root получа­ет осо­бый кон­текст при запус­ке любых про­цес­сов. Так, ядро и при­ложе­ния, работа­ющие от име­ни root, обыч­но про­пус­кают любые огра­ниче­ния, задан­ные на дей­ствия в опре­делен­ном кон­тек­сте, поэто­му root может делать все, что захочет. Но что, если про­цес­су, который работа­ет в неп­ривиле­гиро­ван­ном кон­тек­сте, нуж­но выпол­нить тре­бующее при­виле­гий дей­ствие, не повышая уров­ня прав?

Нап­ример, быва­ет нуж­но раз­решить про­цес­су записы­вать в жур­нал ауди­та ядра, но не поз­волять отклю­чить этот аудит. Ведь если запус­тить этот про­цесс в кон­тек­сте рута, он смо­жет выпол­нить оба дей­ствия!

Тут на помощь и при­ходят Linux capabilities. Эти «воз­можнос­ти» пре­дос­тавля­ют про­цес­су не все мно­жес­тво при­виле­гий, а какое‑то его под­мно­жес­тво. Дру­гими сло­вами, все при­виле­гии рута раз­бива­ются на более мел­кие незави­симые друг от дру­га при­виле­гии и про­цесс получа­ет толь­ко те, которые ему нуж­ны.

В дан­ном слу­чае акти­виро­вана при­виле­гия cap_dac_override, которая поз­воля­ет обой­ти про­вер­ку прав на запись для любого фай­ла, то есть дает воз­можность записы­вать дан­ные в абсо­лют­но любой файл.

Те­перь перей­дем к самому при­ложе­нию, бла­го есть даже исходные коды. Так, в фай­ле reg_helper.c про­исхо­дит запись в /proc/sys/fs/binfmt_misc/register.

Пос­коль­ку в binfmt_misc записы­вает­ся под­кон­троль­ный нам ввод, мы можем исполь­зовать го­товый экс­пло­ит, что­бы запус­тить рут­кит и получить кон­троль над сис­темой. Но в файл экс­пло­ита нуж­но внес­ти нес­коль­ко изме­нений:

Вы­пол­няем наш файл и получа­ем при­виле­гиро­ван­ную коман­дную обо­лоч­ку.

Ма­шина зах­вачена!

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор