Хакер - HTB Forge. Эксплуатируем SSRF для доступа к критической информации

https://t.me/hacker_frei

RalfHacker 

Содержание статьи

• Разведка. Сканирование портов
• Точка входа
• Точка опоры
• Локальное повышение привилегий

Се­год­ня мы с тобой прой­дем сред­нюю по слож­ности машину с пло­щад­ки Hack The Box под наз­вани­ем Forge. Про­экс­плу­ати­руем уяз­вимость SSRF в фор­ме заг­рузке фай­лов и через эту уяз­вимость получим дан­ные с локаль­ного FTP-сер­вера. А осложнять все это будут филь­тры адре­сов на сто­роне сер­вера.

WARNING

Под­клю­чать­ся к машинам с HTB рекомен­дует­ся толь­ко через VPN. Не делай это­го с компь­юте­ров, где есть важ­ные для тебя дан­ные, так как ты ока­жешь­ся в общей сети с дру­гими учас­тни­ками.

РАЗВЕДКА. СКАНИРОВАНИЕ ПОРТОВ

До­бав­ляем IP-адрес машины в /etc/hosts:

10.10.11.111 forge.htb

И запус­каем ска­ниро­вание пор­тов.

Справка: сканирование портов

Ска­ниро­вание пор­тов — стан­дар­тный пер­вый шаг при любой ата­ке. Он поз­воля­ет ата­кующе­му узнать, какие служ­бы на хос­те при­нима­ют соеди­нение. На осно­ве этой информа­ции выбира­ется сле­дующий шаг к получе­нию точ­ки вхо­да.

На­ибо­лее извес­тный инс­тру­мент для ска­ниро­вания — это Nmap. Улуч­шить резуль­таты его работы ты можешь при помощи сле­дующе­го скрип­та.

#!/bin/bash

ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. На пер­вом про­изво­дит­ся обыч­ное быс­трое ска­ниро­вание, на вто­ром — более тща­тель­ное ска­ниро­вание, с исполь­зовани­ем име­ющих­ся скрип­тов (опция -A).

#!/bin/bash

ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)

nmap -p$ports -A $1

Мы наш­ли три откры­тых пор­та, один из которых филь­тру­ется:

• порт 21 — служ­ба FTP (филь­тру­ется);
• порт 22 — служ­ба OpenSSH 8.2p1;
• порт 80 — веб‑сер­вер Apache 2.4.1.

Так как FTP недос­тупен, а SSH про­бивать смыс­ла нет, перехо­дим к тес­тирова­нию сай­та на веб‑сер­вере. Пер­вым делом осмотрим­ся в поис­ке точек вхо­да.

Нас встре­чает галерея. В вер­хнем пра­вом углу сай­та находим ссыл­ку на фор­му заг­рузки фай­лов. Файл мож­но заг­рузить на сер­вер дву­мя путями: нап­рямую и через URL.

Пер­вая мысль — заг­рузить шелл. Но сер­вер при­нима­ет толь­ко кар­тинки, и выпол­нить встав­ку кода не получи­лось. В сер­висах, где фай­лы заг­ружа­ются через URL, сто­ит про­верить наличие уяз­вимос­ти SSRF.

Справка: SSRF

SSRF — это ата­ка на сер­вер, в резуль­тате которой зло­умыш­ленник получа­ет воз­можность отправ­лять зап­росы от име­ни ском­про­мети­рован­ного хос­та. SSRF может быть исполь­зована в DoS-кам­пани­ях для мас­киров­ки реаль­ного источни­ка ата­ки. В таких слу­чаях уяз­вимый хост выс­тупа­ет в качес­тве прок­си‑сер­вера.

Для тес­та SSRF ука­зыва­ем адрес 127.0.0.1. Но получа­ем сооб­щение о том, что зап­рос заб­локиро­ван, так как URL вклю­чен в чер­ный спи­сок.

Тог­да воз­никла идея поис­кать дру­гие точ­ки — прос­каниро­вать сайт на пред­мет скры­того кон­тента.

Справка: сканирование веба c ffuf

Од­но из пер­вых дей­ствий при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов, что­бы най­ти скры­тую информа­цию и недос­тупные обыч­ным посети­телям фун­кции. Для это­го мож­но исполь­зовать прог­раммы вро­де dirsearch и DIRB.

Я пред­почитаю лег­кий и очень быс­трый ffuf. При запус­ке ука­зыва­ем сле­дующие парамет­ры:

• -w — сло­варь (я исполь­зую сло­вари из набора SecLists);
• -t — количес­тво потоков;
• -u — URL;
• -fc — исклю­чить из резуль­тата отве­ты с кодом 403.

ffuf -u http://forge.htb/FUZZ -fc 403 -t 300 -w directory_2.3_medium.txt

Сре­ди катало­гов ничего нового не наш­ли. Тог­да прос­каниру­ем под­домены. Это может открыть новые сай­ты для ата­ки. Исполь­зуем тот же ffuf, а переби­рать будем зна­чение заголов­ка HOST.

ffuf -u http://forge.htb/ -H "Host: FUZZ.forge.htb" -fc 302 -t 300 -w subdomains-top1million-110000.txt

На­ходим новый сайт, который добав­ляем в файл /etc/hosts:

10.10.11.111 admin.forge.htb

Прав­да, он дос­тупен толь­ко для обра­щения с локаль­ного хос­та.

ТОЧКА ВХОДА

Так как боль­ше ничего инте­рес­ного не наш­ли, нуж­но пытать­ся про­бить SSRF. Поэто­му поп­робу­ем раз­ные спо­собы ука­зания локаль­ного хос­та и перебе­рем с помощью Burp Intruder. Перех­ватыва­ем зап­рос в Burp Proxy и перенап­равля­ем в Intruder. На вклад­ке Payload Positions выбира­ем адрес 127.0.0.1.

На вклад­ке Options зададим пра­вило извле­чения из отве­та дан­ных. Для это­го выбира­ем нуж­ную стро­ку (в дан­ном слу­чае — сооб­щение о бло­киров­ке) и отме­чаем галоч­ку Extract from regex group. Это поможет авто­мати­чес­ки соб­рать регуляр­ное выраже­ние для инте­ресу­ющей нас стро­ки.

Ко­личес­тво потоков мож­но выс­тавить на свой выбор, я исполь­зовал 256. Спис­ки спо­собов для ука­зания локаль­ного хос­та есть на GitHub и лег­ко гуг­лятся. Ког­да все готово, запус­каем ата­ку. Резуль­тат получа­ем уже через нес­коль­ко секунд.

В допол­нитель­ной колон­ке, куда попали сооб­щения от сер­вера, находим сре­ди про­чего отче­ты об успешной заг­рузке. Исполь­зуя средс­тво прос­мотра отве­та Render, мож­но пос­мотреть эту стра­ницу, не выходя из Burp.

Ви­дим, что в слу­чае успешной заг­рузки «фай­ла» нам дают на него ссыл­ку. Перей­дя по этой ссыл­ке, най­дем там стар­товую стра­ницу галереи. Таким обра­зом, при­сутс­тву­ет уяз­вимость SSRF!

Те­перь выяс­ним, по каким про­токо­лам мы можем работать через такой рет­ран­сля­тор. Для это­го отправ­ляем наш «успешный» зап­рос в Burp Intruder и на вклад­ке Payload Position выбира­ем дей­ству­ющий про­токол.

В спи­сок заносим самые веро­ятные про­токо­лы и запус­каем перебор.

В ито­ге сер­вер под­держи­вает все­го два про­токо­ла: HTTP (работа­ет) и HTTPS (выда­ет ошиб­ку, так как на сер­вере зак­рыт порт 443). Осталь­ные про­токо­лы были отфиль­тро­ваны. Мы получа­ем все боль­ше информа­ции, но пока ничего сущес­твен­ного. Сто­ит пом­нить про адми­нис­тра­тив­ный сер­вис, обра­щение к которо­му дол­жно про­исхо­дить через домен­ное имя. Поп­робу­ем обра­тить­ся к основно­му домену и любому его под­домену, даже не сущес­тву­юще­му.

В обо­их слу­чаях получа­ем сооб­щение про чер­ный спи­сок. Ско­рее все­го, сто­ит про­вер­ка вхож­дения пос­ледова­тель­нос­ти forge.htb. Поп­робу­ем обма­нуть пред­полага­емую полити­ку и изме­нить регистр сим­волов — fOrge.htb.

И получа­ем ссыл­ку на стра­ницу. Этим спо­собом получим ссыл­ку и на копию адми­нис­тра­тив­ного сер­виса.

ТОЧКА ОПОРЫ

Зап­рашива­ем сох­ранен­ную стра­ницу и получа­ем дру­гую ссыл­ку.

Пов­торя­ем всю про­цеду­ру заново, но теперь в качес­тве конеч­ной точ­ки ука­зыва­ем толь­ко получен­ную ссыл­ку. Это поз­волит нам рас­крыть еще боль­ше информа­ции о сер­висах.

Мы получа­ем учет­ные дан­ные для вхо­да по FTP. Так­же узна­ем о стра­нице /upload, которая при­нима­ет параметр u, где нуж­но передать URL. А сре­ди под­держи­ваемых про­токо­лов при­сутс­тву­ют FTP и SFTP. Давай обра­тим­ся к этой стра­нице и переда­дим в качес­тве URL адрес локаль­ного FTP-сер­вера:

admin.fOrge.htb/upload?u=ftp://user:heightofsecurity123!@127.1.1.1

Это похоже на поль­зователь­скую дирек­торию. Поп­робу­ем получить содер­жимое скры­того катало­га .ssh.

По­луча­ем при­ват­ный ключ и под­клю­чаем­ся по SSH.

Так мы зах­ватыва­ем поль­зовате­ля и получа­ем ста­биль­ный дос­туп.

ЛОКАЛЬНОЕ ПОВЫШЕНИЕ ПРИВИЛЕГИЙ

Од­на из пер­вых вещей, которые нуж­но про­верять в Linux, ког­да ищешь спо­собы под­нять при­виле­гии, — это файл sudoers. Смот­рим его.

Справка: sudoers

Файл /etc/sudoers в Linux содер­жит спис­ки команд, которые раз­ные груп­пы поль­зовате­лей могут выпол­нять от име­ни адми­нис­тра­тора сис­темы. Мож­но прос­мотреть его как нап­рямую, так и при помощи коман­ды sudo -l.

В нас­трой­ках sudoers про­писан при­виле­гиро­ван­ный запуск поль­зователь­ско­го скрип­та /opt/remote-manage.py без вво­да пароля (NOPASSWD). Прос­мотрим содер­жимое фай­ла.

Этот скрипт откры­вает ука­зан­ный порт (стро­ка 12), зап­рашива­ет сек­ретный пароль и про­веря­ет его (стро­ки 16–20). Затем скрипт зап­рашива­ет у под­клю­чен­ного поль­зовате­ля циф­ру от 1 до 4 для выпол­нения соот­ветс­тву­юще­го дей­ствия (стро­ки 22–36). Но если во вре­мя выпол­нения кода про­изой­дет ошиб­ка, то обра­бот­чик исклю­чения передаст управле­ние pdb — отладчи­ку Python (стро­ки 37–39).

Та­ким обра­зом, если мы смо­жем выз­вать ошиб­ку в при­ложе­нии, то смо­жем получить кон­соль отладчи­ка. Это поз­волит выпол­нять свой код в при­виле­гиро­ван­ном режиме.

Выз­вать ошиб­ку в при­ложе­нии мож­но в стро­ке 27, где вве­ден­ная стро­ка пре­обру­ется к целочис­ленно­му зна­чению. Запус­тим при­ложе­ние, под­клю­чим­ся к нему со вто­рого тер­минала с помощью netcat.

Те­перь вво­дим любую стро­ку, при этом в тер­минале самого при­ложе­ния отоб­разит­ся ошиб­ка и появит­ся кон­соль pdb.

Те­перь импорти­руем модуль PTY и получа­ем коман­дную обо­лоч­ку в высокоп­ривиле­гиро­ван­ном режиме.

Мы зах­ватили оче­ред­ную машину и име­ем пол­ный кон­троль над ней!

Читайте ещё больше платных статей бесплатно: https://t.me/hacker_frei