Для начала стоит посмотреть все устройства в локальной сети с помощью команды arp-scan -l

Затем сканим каждый IP-адрес через nmap на проверку открытых портов.

В качестве уязвимой машины я выберу тачку с адресом 10.71.5.29:

Тут мы видим 22й и остальные открытые порты (в контексте данной статьи они нам неинтересны).

В качестве словарей можете использовать какие хотите:

Кстати, список паролей я взял отсюда: https://github.com/danielmiessler/SecLists/blob/master/Passwords/Common-Credentials/top-20-common-SSH-passwords.txt

После создания словарей приступаем к бруту:

Стоит сказать, что можно использовать Patator, Hydra, Medusa, Metasploit, но в данной статье я буду юзать Hydra:

Использовав команду: hydra -V -f -L "словарь логинов" -P "словарь паролей" ssh://xx.xx.xx.xx ,где

-V – показывать пару логин/пароль во время перебора

-f – остановка, если данные подошли

-P – путь до словаря с паролями

-L – путь до словаря с логинами

P.S. можно юзать в следующих комбинациях:

-l -p – логин/пароль

-L -p – список логинов/пароль

-l -P – логин/список паролей

-L -P – список логинов/список паролей

Если всё сделали верно, то увидите начало перебора. А затем остается лишь ждать и надеяться:

Как мы видим, способ рабочий. Осталось проверить корректность логов:

Вывод: Способ действительно рабочий, особенно, если вы знаете примерный пароль, поскольку на основе ваших знаний о нем, можно сгенерировать целый список с помощью утилиты Crunch (о ней был пост на канале в ТГ).

Если рассматривать Hydra и ей подобные софты, то у них большой функционал. Например, можно брутить формы входа на сайтах, брутить другие протоколы и т.д.

ТГ канал: https://t.me/hackerblog

Разведка

Начинаем мы, как и всегда, с разведки:

Тут ничего подозрительного нет, поэтому идем дальше.
Мы люди простые: видим доменное имя - вносим изменения в /etc/hosts:

Переходим на сайт и, прошерстив его, обнаруживаем страницу загрузки файла.

Минутка моих рассуждений:
Изучив запрос в BurpSuite, я изначально подумал, что можно обойти запрещенные расширения ( доступны только jpeg и png). Поэкспериментировав, я сделал вывод, что по сути то фильтру плевать на само расширение, ведь его волнует само тело файла. Тогда через exiftool я добавил комментарий к картинке и отправил такой тестовый запрос:

Как мы видим, все прошло успешно. НО! Поскольку у нас нет страницы вызова файла по типу: http://target.htb/uploads/file.php, то мы никак не сможем "приказать" серверу обработать наш запрос.

Как мы знаем, мелочи в деталях. Нам стоит обратить внимание на первую строку этого документа и увидеть версию exiftool'a- 12.37. Погуглив, находим информацию о CVE-2022-23935:

В чем суть? Если мы изменим имя файла на "example |", то сервер обработает это, как команду. Да, если добавить " |" в конце название файла, то это будет являться уязвимостью в нашем случае.

Точка входа

Отлично, теперь мы знаем слабость системы. Давайте создадим простенькую полезную нагрузку и проверим ее работоспособность:

Что мы сделали? Мы изменили название картинки на "ping 10.10.x.x |" и загрузили, как файл. Дальше мы перехватываем icmp пакеты, проверив соединение. Если всё получилось, то идем дальше.

Следующим шагом создаем полноценный запрос aka reverse shell:

1. Создаем стандартный reverse shell

2. Кодируем его в base64

3. Переименовываем файл нужным нам образом

4. Включаем netcat

5. Загружаем файл

Примечание по синтаксису: echo "code"|base 64 -d позволяет нам расшифровать наш реверс шелл, а bash в конце выполнить команду. Зашифровывалось все для того, чтобы обойти такие символы, как $ /, поскольку они запрещены.

Получение user флага

Если все сделали успешно, то увидите следующую картину:

Мы зашли, как www-data. Уже есть успех!

Пошерстив немного, находим каталог investigation с интересным .msg файлом. Использовав cat, я понял, что это электронное письмо, поскольку используется протокол SMTP:

Поскольку мы его не так не прочитаем, то нам нужно открыть его в какой-то программе, предварительно скачав:
Тут есть оговорка:

Если вы также, как и я использовали команду python3 -m http.server 8080 на уязвимой машине и у вас ничего не получилось, то знайте, что при использовании netcat, wget может работать некорректно или не работать вовсе.
Поэтому скачивать будем через netcat:

После успешного скачивания файла, нам нужно его просмотреть. Тут вы можете юзать софт или онлайн инструмент.
Ссылка на софт: https://support.mozilla.org/ru/kb/ustanovka-thunderbird-na-linux

Ссылка на онлайн инструмент: https://www.encryptomatic.com/viewer/

Видим адресатов и zip-файл, который мы успешно распакуем и просмотрим содержимое с помощью прекрасной проги evtx_dump.
Ссылка на evtx_dump: https://github.com/williballenthin/python-evtx/blob/master/scripts/evtx_dump.py

Сначала я решил выполнить поиск по фамилии адресата и нашел логин учетки.

Дальше, покопавшись, находим и пароль:

Отлично, погнали в ssh:

Дальше находим наш флаг и радуемся)

Эскалация привилегий

Давайте посмотрим наши разрешения с помощью sudo -l

Как мы видим, мы можем от имени рута запустить какой-то бинарный файл.

Так как ничего полезного через cat binary мы не увидим, предлагаю изучить его в соответствующей программе, предварительно скачав:

Для своих целей я буду использовать Ghidra.

Установка: sudo apt install -y ghidra

Нас интересует main, поэтому давайте его просмотрим:

1. Сравнение количества аргументов с 3, иначе выход.
2. Проверка на рута. Если вы не рут- выход.
3. Проверка на сходство со строкой "lDnxUysaQn", иначе выход.
4. При выполнении условий, открывается файл, соединение через curl и происходит запись. Далее все закрывается (соединение и файл).
5. Форматируется строка «perl ./%s»
6. Запуск команды для запуска команд через оболочку.
7. Удаление "lDnxUysaQn" и выход.

После примерного понимания работы кода, давайте создадим perl скрипт и загрузим его на тачку:

Тут стоит обратить внимание на то, что права нам не позволяют свободно загрузить файл, поэтому загружаем его через "разрешенные действия".

Бум! Теперь мы рут.

Наш ТГ канал: https://t.me/hackerblog

На повестке дня тачка Stocker с уровнем "Easy". Начать стоит с того, что машинка интересная, поскольку заставляет хорошо подумать на определенном этапе, который будет озвучен позже.
Предлагаю начать процесс. Как и всегда, начинаем наш путь со скана:

Ничего интересного я не увидел, лишь 22й и 80й открытый порт. Давайте перейдем по адресу на веб страницу, предварительно изменив /etc/hosts:

Красивый сайт, который прямо таки просит прошерстить его интересные директории)))

Ничего интересного я не обнаружил. Решил просмотреть код элемента страницы, но результат тот же.
Ничего страшного, попробуем найти поддомен через ffuf:

Ага, то то и оно. Опять редачим /etc/hosts и залетаем на сайт:

Нас встречает страница авторизации, которую нам нужно обойти. Стоит отметить, что Redis, MongoDB или memcached являются возможными вариантами СУБД на данной тачке. Выясним это попозже.

Поиск точки входа

Я перебирал стандартные NOSQL инъекции, что-то вроде такого:

Ничего не получалось, и я стал гуглить. Нашел просто прекрасную статью по NOSQL инъекциям, которую вы обязательно должны изучить.
Статья: https://book.hacktricks.xyz/pentesting-web/nosql-injection#basic-authentication-bypass
Итак, что мы имеем? Мы имеем возможность использовать инъекцию для обхода аутентификации:

Я использовал 3 запроса из данной статьи, 2 из которых оказались рабочими.

ВАЖНО: в запросе Content-Type нужно изменить на Content-Type: application/json, поскольку мы используем синтаксис json.

Славно, теперь мы имеем доступ к странице, обойдя аутентификацию.
Но как мы это поняли? Посмотрите на респонс в двух случаях: говорится, что пользователь найден и нас перенаправляет на "основную" страницу нашего поддомена:

Тут по сути нет ничего интересного, поэтому давайте поступим по "сценарию сайта"- добавим в корзину какой-нибудь товар и составим ордер:

Так, открылся pdf-файл, показывающий нам наш заказ. Ага, хорошо, но давайте мы перехватим запрос открытия этого документа и изучим его:

Как мы видим, "success":true, "orderId":"номер ордера", что говорит о корректном исполнении запроса.
А как можно использовать этот факт для личных целей?

Так как идет отправка заказа через API в расширение "json" (видно в запросе), а также в файле pdf столбец "Item" выдает нам строку из запроса "title":"Cup", то, я так думаю, можно изменить запрос нужным нам образом, используя тег <iframe></iframe>:

Минутка пояснений: <iframe></iframe> является контейнером, содержание которого игнорируется браузерами, не поддерживающими данный тег. Для таких браузеров можно указать альтернативный текст, который увидят пользователи.

Используя "title": "<iframe src=file:///etc/passwd></iframe>", мы получили положительный ответ, который мы откроем в браузере командой http://dev.stocker.htb/api/po/*ваш ордер айди* и проверим результат:

Отлично, мы успешно открыли файл "passwd", что дает нам возможность обнаружить пользователя angoose и понять, что можно сгенерировать новый запрос:

P.S. для корректного отображения нашей полезной нагрузки, я рекомендую добавить в запросе "title": "<iframe src=file:///etc/passwd height:800px width: 800px></iframe>"

Получение юзер флага

Так, теперь нужно определиться с дальнейшим ходом вещей. Так как на сайте используется Node.Js (чекаем wappalyzer), то и есть файл index.js, который мы вызовем:

Внимательно изучив документ, мы находим замечательную для нас строку и видим, что используется mongoDB:

Это ничто иное, как пароль для учетки с ником angoose.

Летим в ssh и забираем юзер флаг:

Повышение привелегий

Давайте стандартным образом посмотрим наши права:

Как мы можем видеть, у нас есть право запускать js скрипты от имена root'a, указывая путь /usr/bin/node.

Отлично, ведь это значит, что мы без проблем можем создать полезный js документ для буста)))

Будем использовать обход каталога и порождение дочернего процесса.

Подробнее: https://stackoverflow.com/questions/30134236/use-child-process-execsync-but-keep-output-in-console и https://nodejsdev.ru/api/child_process/

Далее "устанавливаем" bash и гордимся собой с +30 поинтами)))

Наш уютный ТГ-канал: https://t.me/hackerblog

Сначала, как и всегда, сканим наш ip-шник, дабы посмотреть открытые порты и выбрать вектор атаки:

Как мы видим, у нас открыт 22 и 80 порт. На 80 порту находится http страница. Отлично, предварительно добавим данные в /etc/hosts:

Славно, давайте перейдем на сайт:

Ага, видим такую картину- сайт просит нас авторизоваться. Давайте не будем спешить с этим и просканим его на наличие поддоменов и директорий:

Так-с, поддоменов не обнаруежено:(, но мы видим директорию printer/ . Я пытался перейти на нее, но сайт требует авторизоваться. Что можно сделать? Давайте просто взглянем на исходный код сайта:

Ага, вот оно! У нас есть js скрипт с ссылкой на регистрацию. Переходим:

Изучив этот каталог, я понял, что мы можем скачивать выбранную картинку, указав нужный нам формат и размер.

Есть фича, позволяющая нам загружать полезную нагрузку на сервер: приписка пэйлода после формата картинки (с png, в нашем случае, не работает. Поэтому, выбираем для этих целей jpg).

В чем вообще суть вышенаписанного? При нажатии на кнопку скачивания картинки, мы отправляем запрос на сервер. В этом запросе указываются название картинки, расширение и размер. Мы собираемся изменить отправляемый запрос, чтобы использовать reverse shell.

Но как мы можем записать команду для включения шелла, если в нашем запросе недопустимы пробелы? Легко- https://www.revshells.com

Выбираем mkfifo - /bin/bash - URL encode и получаем нужный нам payload.

Открываем dirbuster, открываем браузер, выбираем proxy и действуем.

При написании этого райтапа, я заметил, что тут я немного накосячил, вставив скрипт не в том месте.((( Его следует вставлять после filetype=jpg, использовав после jpg точку с запятой(;).

Отлично, отправляем наш запрос и в терминале подключаем netcat, а дальше уже дело за малым:

Повышение прав до root.

После получения юзера нужно, конечно же, взять рута))
Что ж делать то будем? Давайте глянем, что мы можем делать:

Ага, есть какой-то скрипт и очень важные для нас слова SETENV: и NOPASSWD. А что это за слова? А это параметры в sudoers- плагине политики безопасности sudo по умолчанию.

Так, например, тег NOPASSWD устанавливает значение по умолчанию для следующих за ним команд в Cmnd_Spec_List.
Чтобы этим свободно пользоваться, вам следует изучить следующие статьи:

https://c0nd4.medium.com/linux-sudo-ld-preload-privilege-escalation-7e1e17d544ec
https://www.hackingarticles.in/linux-privilege-escalation-using-ld_preload/

Создаем скрипт с названием shell.c :

Используем данную команду:

gcc -fPIC -shared -o shell.so shell.c -nostartfiles

И заливаем наш скрипт, предварительно запустив http сервер:

Теперь давайте проверим наличие нашего скрипта:

Отлично! Скрипт залился успешно. Теперь давайте дадим ему права:

Теперь изменим параметр LD_PRELOAD с помощью нашего скрипта и разрешенного для нас исполняемого файла:

Ура, мы - рут. Дело за малым. Получим флаг:

Приветствую вас, господа и дамы. Сегодня мы разберем тачку с уровнем easy на платформе HTB - Shoppy. Прорешав её, я могу сказать, что машина само по себе легкая, но есть моменты, где нужно прям посидеть подумать. Так-с, предлагаю начать разбор:

Первым делом, сканим наш ip-шник с помощью nmap. Думаю, синтаксис более чем понятен и не требует разъяснений:

Оп, увидели открытый 80-й порт, славно. Давайте перейдем на сайт:

Нас встречает сайт shoppy.htb, красивый фон гор и обратный отсчет, круто. А что дальше?

Давайте попробуем найти директории сайта с помощью dirbuster'a и субдомены с помощью gobuster'a:

Ага! Нам удалось найти страницу авторизации /login, /admin и субдомен mattermost.

ВАЖНО! Для доступа к сайту shoppy.htb и mattermost.shoppy.htb их нужно добавить в /etc/hosts

Славно, теперь вернемся к нашей теме- перейдем на страницу авторизации:

На данном этапе пришлось попотеть- долго не мог понять какая бд стоит, какую инъекцию использовать. Перепробовал кучу вариантов, короче. В итоге, ответ оказался таким: сайт использует MongoDB NoSQL. Что это? Это кроссплатформенная программа баз данных, ориентированная на документооборот. Классифицированный как программа базы данных NoSQL, MongoDB использует JSON-подобные документы с дополнительными схемами. MongoDB разработан компанией MongoDB Inc. и лицензирован по публичной лицензии на стороне сервера (SSPL).

Но можно ли использовать инъекции в таком случае? Конечно можно!

Используем такую команду: admin'||'1==1 и вуаля!

Подробнее про MongoDB NoSQL инъекции: https://nullsweep.com/a-nosql-injection-primer-with-mongo/ и https://habr.com/ru/company/xakep/blog/143909/

После нажатия на кнопку "Авторизоваться", мы попадаем на страницу приложений.

У нас есть одна единственная кнопка- Поиск пользователей.

Так-с, предлагаю начать с "admin":

Появилась кнопка, предлагающая нам получить данные о пользователе. Окей, перейдем:

Нам выдало логин и хэш пароля. Но, как я полагаю, не может быть такого, что у нас всего 1 пользователь и это admin. А что если использовать нашу инъекцию в поиске пользователей? Хм, интересно.

Что-ж, была не была)

Вот оно! Получили учётку с ником "josh" и хэшем пароля. Уже есть какой-никакой успех. Предлагаю сразу воспользоваться hashcat'ом и получить пароль.

Решил использовать стандартный словарь rockyou.txt. Думаю, с синтаксисом не возникнет проблем, ведь всегда можно погуглить)

Добавлю, что файл hash.txt - это текстовик с хэшем, который мы получили.

Бинго! Пароль успешно получен. И что теперь? Напомню, что мы нашли субдомен mattermost.shoppy.htb. Давайте перейдем туда:

Нас опять встречает страница авторизации. Имея пароль, интуитивно понятно, что нам нужно зайти под пользователем "josh":

Попадаем на какую-то приборную доску. Исследовав сайт, мы находим раздел "deploy machine", в котором видим, что некий jaeger скинул нам свою учетку. Спасибо, jaeger! Полетели в ssh:

Ну тут все до боли понятно: вводим данные jaeger'а, пишем ls и получаем user-flag. Поздравляю, мы на финишной прямой! А что мы вообще можем делать под этим пользователем? Давайте глянем:

Опа! Можем запустить некий менеджер паролей. Ну давайте запустим его командой: sudo -u deploy /home/deploy/password-manager

Нас встречает окно аутентификации, в котором нужно ввести пароль. Можете, конечно, подобрать его самостоятельно, но я решить просмотреть код этого менеджера паролей:

Это было легко. Но ладно, расслабляться рано, двигаемся дальше. Давайте введем этот пароль в скрипт:

Получилось! Мы получили новую учётку пользователя. Заходим еще раз в ssh, но теперь с новыми данными:

И снова успех! Тут я решил открыть credts.txt, ничего серьезного, просто данные акка, с которого мы зашли. А что теперь делать? Воспользуемся Docker'ом. Что такое Докер? Простыми словами, Докер это инструмент, который позволяет разработчикам, системными администраторам и другим специалистам деплоить их приложения в песочнице (которые называются контейнерами), для запуска на целевой операционной системе, например, Linux. Ключевое преимущество Докера в том, что он позволяет пользователям упаковать приложение со всеми его зависимостями в стандартизированный модуль для разработки. В отличие от виртуальных машин, контейнеры не создают такой дополнительной нагрузки, поэтому с ними можно использовать систему и ресурсы более эффективно. Пишем команду:

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

Подробнее о Докерах: https://gtfobins.github.io/gtfobins/docker/

Бум! Теперь мы root. Дело сделано, флаг получен.

P.S. Ребята, это мой первый райтап, поэтому не судите строго. Я очень старался написать как можно подробнее и понятнее. Если я где-то ошибся- поправьте меня в комментариях. Удачки!