<~DarkNode~>
17.12.2016, 11:59
Глава 5Предыдущая глава (https://forum.antichat.xyz/threads/558622/)
Следующая глава (https://forum.antichat.xyz/threads/558730/)
Оглавление
https://forum.antichat.xyz/attachments/4768291/img_e48ba2aced.png
Доброго времени суток друзья) Сегодня настало время очередного токена. А так же на этом таске мы попрактикуемся в таком интересном векторе атаки, какTemplate Injection Server Side ,и как обычно качнем немножко свое логическое мышление) Речь пойдем сегодня оHall-Of-Fame(192.168.0.8) машине на топологии сети.
Сперва как всегда для удобной работы пробросим порт:
https://forum.antichat.xyz/attachments/4768291/1.png
Далее знакомимся с веб приложением,гуляем по ссылкам,наблюдаем за поведением контента,изучаем передаваемые параметры и т.д:
https://forum.antichat.xyz/attachments/4768291/2.png
Видим что GET-ом передается параметр hnameи это очень похоже на то что там может быть LFI(Local File Inclusion) Но несколько часов я долбился в поисках этой уязвимости и увы безрезультатно...
Затем на ум пришло побрутить директории и файлы на этом веб сервере..
Тут стоит обратить внимания на инструмент которым мы будим брутить директории. Конечно можно и обычным dirbuster-ом пробрутить,но лично мне нравится очень инструмент dirsearchкоторый как по мне в разы быстрее чемdirb или dirbuster)
Прогоняем этой утилитой наш зал славы(Hall-Of-Fame)
https://forum.antichat.xyz/attachments/4768291/4.png
Находим интересную две интересные папки
/backup
и
/dev
Пробуем зайти на /dev
Нас встречает тамBasic Auth аутентификация:
https://forum.antichat.xyz/attachments/4768291/8.png
Пробрутив директорию /backup находим файлик passwords.txt:
https://forum.antichat.xyz/attachments/4768291/5.png
В этой папке находим файлик с паролями,смотрим его.
https://forum.antichat.xyz/attachments/4768291/6.png
Пробуем залогинится на /dev. Но увы не один логин пароль нам не подошел
Пробуем зайти на основной странице:
https://forum.antichat.xyz/attachments/4768291/7.png
Наблюдаем и изучаем поведения контента после успешного логина под пользователем creator:
https://forum.antichat.xyz/attachments/4768291/9.png
Ковыряли ковыряли,ничего не наковыряли... Не нашел я ничего тут...
Пробуем под другим пользователем залогинится:
https://forum.antichat.xyz/attachments/4768291/10.png
А тут после логина нам вернуло какой то масив с данными:
https://forum.antichat.xyz/attachments/4768291/11.png
Видим путь /dev/ и пароль 0bf190ffdc397fd51334d908845fbb1
Вспоминаем что по пути /dev у нас была аутентификация,идем туда и пробуем наш пароль под известными нам учетными записями.Но почему то нас не пускает ни под одной учетной записей..
Посидели,успокоились,подум али...
Тут включаем логику и начинаем думать о том какие еще могут быть учетные записи разработчика(developer), пробуем логин dev (сокращенно от developer) и наш полученный пароль и попадаем в каталог разработчика и видим что визуально поведение контента ничем не отличается:
https://forum.antichat.xyz/attachments/4768291/12.png
Хм... Странно...
Кавыряемся,кавыряемся, паралельно запускаем сканеры уязвимостей,пускай работают.
Ну и на выходе сканер находит нам весьма интересный вектор уязвимостей:
https://forum.antichat.xyz/attachments/4768291/14.png
Видим что в параметре hname нашло Template Injection и определило тип шаблонизатораTwig.
Server Side Template Injection - вектор атаки построен на принципе внедрения шаблона.
Вообщем гуглим вектор,вооружаемся знаниями и пробуем эксплуатировать.
Я расписывать не буду про этот вектор,так как очень доступно,подробно и хорошо об этом векторе расписано в этой_статье
Прочитав статью пробуем выяснить для практики и закрепления знаний попробуем выяснить тип шаблонизатора,не смотря на то что сканер сделал это уже за нас(всегда нужно стараться понимать тот или иной вектор уязвимости), самостоятельно по вот этой схеме:
Помним что у нас уязвимый параметр hname, валидируем вектор:
https://forum.antichat.xyz/attachments/4768291/15.png
Видим что мы передали GET-омhname=DarkNode {{7*'7'}} И нам вернуло в теге DarkNode 49
Значит и вправду шаблонизатор Twig. Это все хорошо) Идем дальше)
Читаем внимательно статью и находим там уже готовый шаблон дляRCE под шаблонизатор Twig:
Документация говорит, что Twig имеет обьект _self, который имеет атрибут env (является ссылкой на Twig_Evironment).В процессе чтения документации, мы приходим к рабочей полезной нагрузке{{_self.env.registerUndefinedFilte rCallback(«exec»)}}{{_self.env.getFilter(«id») }}
Пробуем нашуполезную нагрузку:
https://forum.antichat.xyz/attachments/4768291/16.png
Ну вот вектор готов) Осталось бросить удаленный шелл и забрать токен)
Так как ssh(172.16.0.8) машина и Hall-Of-Fame(192.168.0.8) у нас находятся в разных сегментах сети,то тут мы сможем сделать только Bind Shell(Кто не понимает различие междуBind и Reverse шеллом - прочтите моюстатью (https://forum.antichat.xyz/threads/558608/))
https://forum.antichat.xyz/attachments/4768291/17.png
https://forum.antichat.xyz/attachments/4768291/18.png
https://forum.antichat.xyz/attachments/4768291/19.png
Всем спасибо)
Помни! Если понравилась статья - жмакни лайк , мне будет приятно)
Предыдущая глава (https://forum.antichat.xyz/threads/558622/)
Следующая глава (https://forum.antichat.xyz/threads/558730/)
Оглавление
Следующая глава (https://forum.antichat.xyz/threads/558730/)
Оглавление
https://forum.antichat.xyz/attachments/4768291/img_e48ba2aced.png
Доброго времени суток друзья) Сегодня настало время очередного токена. А так же на этом таске мы попрактикуемся в таком интересном векторе атаки, какTemplate Injection Server Side ,и как обычно качнем немножко свое логическое мышление) Речь пойдем сегодня оHall-Of-Fame(192.168.0.8) машине на топологии сети.
Сперва как всегда для удобной работы пробросим порт:
https://forum.antichat.xyz/attachments/4768291/1.png
Далее знакомимся с веб приложением,гуляем по ссылкам,наблюдаем за поведением контента,изучаем передаваемые параметры и т.д:
https://forum.antichat.xyz/attachments/4768291/2.png
Видим что GET-ом передается параметр hnameи это очень похоже на то что там может быть LFI(Local File Inclusion) Но несколько часов я долбился в поисках этой уязвимости и увы безрезультатно...
Затем на ум пришло побрутить директории и файлы на этом веб сервере..
Тут стоит обратить внимания на инструмент которым мы будим брутить директории. Конечно можно и обычным dirbuster-ом пробрутить,но лично мне нравится очень инструмент dirsearchкоторый как по мне в разы быстрее чемdirb или dirbuster)
Прогоняем этой утилитой наш зал славы(Hall-Of-Fame)
https://forum.antichat.xyz/attachments/4768291/4.png
Находим интересную две интересные папки
/backup
и
/dev
Пробуем зайти на /dev
Нас встречает тамBasic Auth аутентификация:
https://forum.antichat.xyz/attachments/4768291/8.png
Пробрутив директорию /backup находим файлик passwords.txt:
https://forum.antichat.xyz/attachments/4768291/5.png
В этой папке находим файлик с паролями,смотрим его.
https://forum.antichat.xyz/attachments/4768291/6.png
Пробуем залогинится на /dev. Но увы не один логин пароль нам не подошел
Пробуем зайти на основной странице:
https://forum.antichat.xyz/attachments/4768291/7.png
Наблюдаем и изучаем поведения контента после успешного логина под пользователем creator:
https://forum.antichat.xyz/attachments/4768291/9.png
Ковыряли ковыряли,ничего не наковыряли... Не нашел я ничего тут...
Пробуем под другим пользователем залогинится:
https://forum.antichat.xyz/attachments/4768291/10.png
А тут после логина нам вернуло какой то масив с данными:
https://forum.antichat.xyz/attachments/4768291/11.png
Видим путь /dev/ и пароль 0bf190ffdc397fd51334d908845fbb1
Вспоминаем что по пути /dev у нас была аутентификация,идем туда и пробуем наш пароль под известными нам учетными записями.Но почему то нас не пускает ни под одной учетной записей..
Посидели,успокоились,подум али...
Тут включаем логику и начинаем думать о том какие еще могут быть учетные записи разработчика(developer), пробуем логин dev (сокращенно от developer) и наш полученный пароль и попадаем в каталог разработчика и видим что визуально поведение контента ничем не отличается:
https://forum.antichat.xyz/attachments/4768291/12.png
Хм... Странно...
Кавыряемся,кавыряемся, паралельно запускаем сканеры уязвимостей,пускай работают.
Ну и на выходе сканер находит нам весьма интересный вектор уязвимостей:
https://forum.antichat.xyz/attachments/4768291/14.png
Видим что в параметре hname нашло Template Injection и определило тип шаблонизатораTwig.
Server Side Template Injection - вектор атаки построен на принципе внедрения шаблона.
Вообщем гуглим вектор,вооружаемся знаниями и пробуем эксплуатировать.
Я расписывать не буду про этот вектор,так как очень доступно,подробно и хорошо об этом векторе расписано в этой_статье
Прочитав статью пробуем выяснить для практики и закрепления знаний попробуем выяснить тип шаблонизатора,не смотря на то что сканер сделал это уже за нас(всегда нужно стараться понимать тот или иной вектор уязвимости), самостоятельно по вот этой схеме:
Помним что у нас уязвимый параметр hname, валидируем вектор:
https://forum.antichat.xyz/attachments/4768291/15.png
Видим что мы передали GET-омhname=DarkNode {{7*'7'}} И нам вернуло в теге DarkNode 49
Значит и вправду шаблонизатор Twig. Это все хорошо) Идем дальше)
Читаем внимательно статью и находим там уже готовый шаблон дляRCE под шаблонизатор Twig:
Документация говорит, что Twig имеет обьект _self, который имеет атрибут env (является ссылкой на Twig_Evironment).В процессе чтения документации, мы приходим к рабочей полезной нагрузке{{_self.env.registerUndefinedFilte rCallback(«exec»)}}{{_self.env.getFilter(«id») }}
Пробуем нашуполезную нагрузку:
https://forum.antichat.xyz/attachments/4768291/16.png
Ну вот вектор готов) Осталось бросить удаленный шелл и забрать токен)
Так как ssh(172.16.0.8) машина и Hall-Of-Fame(192.168.0.8) у нас находятся в разных сегментах сети,то тут мы сможем сделать только Bind Shell(Кто не понимает различие междуBind и Reverse шеллом - прочтите моюстатью (https://forum.antichat.xyz/threads/558608/))
https://forum.antichat.xyz/attachments/4768291/17.png
https://forum.antichat.xyz/attachments/4768291/18.png
https://forum.antichat.xyz/attachments/4768291/19.png
Всем спасибо)
Помни! Если понравилась статья - жмакни лайк , мне будет приятно)
Предыдущая глава (https://forum.antichat.xyz/threads/558622/)
Следующая глава (https://forum.antichat.xyz/threads/558730/)
Оглавление