Академический Документы
Профессиональный Документы
Культура Документы
HTB
MODERATORS
WARNING
Подключаться к машинам с HTB рекоменд уется
только через VPN. Не делай этого с компьютеров,
где есть важные для тебя данные, так как ты ока‐
жешься в общей сети с другими участ никами.
РАЗВЕДКА
Сканирование портов
Добавляем IP-адрес машины в /etc/hosts:
10.10.11.173 moderators.htb
#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f
1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1
Запускаем:
Burp History
ТОЧКА ВХОДА
Читая блог, находим отчет об уязвимости XSS, который и приводит нас
на страницу reports.php с параметром report без редиректа.
Содержимое отчета
Так как отчет определяется по номеру, я решил эти номера перебрать. Делать
это будем с помощью Burp Intruder.
Результат перебора
Содержимое отчета
Результат перебора
ffuf -u 'http://moderators.htb/logs/
e21cece511f43a5cb18d4932429915ed/FUZZ.pdf' -r -w directory_2.3_
medium_lowercase.txt -t 256
Находим искомое имя файла — logs.pdf. Вот только сам файл никакой инте‐
ресной информации не дал.
И этот отчет раскрывает нам новые пути на сайте. В этот раз мы приходим
к странице загрузки отчетов:
http://moderators.htb/logs/report_log_upload.php
ТОЧКА ОПОРЫ
Я попробовал загрузить простой PHP-скрипт:
Тогда я решил немного поиграть с форматом PDF, как при способах загрузки
шелла в условиях контроля формата картинок. Оставим служебные маркеры
PDF-файла, а в качестве содержимого поместим использованную ранее наг‐
рузку.
Генерирование нагрузки
Тестирование RCE
Продолжение статьи →
ВЗЛОМ ← НАЧАЛО СТАТЬИ
HTB MODERATORS
ЛОМАЕМ ПРИЛОЖЕНИЕ НА WORDPRESS
И РАБОТАЕМ С ШИФРОВАННЫМ
ВИРТУАЛЬНЫМ ЖЕСТКИМ ДИСКОМ
ПРОДВИЖЕНИЕ
Пользователь lexi
Теперь, когда мы получили доступ к хосту, нам нужно собрать информацию.
Для этого я зачастую применяю скрипты PEASS, постоянные читатели с ними
хорошо знакомы.
Список процессов
Прослушиваемые порты
Чтобы обратиться к сервису на порте 8080, нам нужно этот порт прокинуть,
к примеру с помощью chisel. На локальном хосте запустим сервер, ожи‐
дающий подключения (параметр --reverse) на порт 5432 (параметр -p).
Версия CMS
Смысла сканировать плагины нет, так как мы имеем доступ к исходным папкам
и структуре каталогов. Узнать, какие установлены плагины, мы можем, заг‐
лянув в каталог /wp-content/plugins.
Первая же ссылка выводит нас к базе эксплоитов Exploit-DB. И там есть опи‐
сание уязвимости.
Описание уязвимости
/var/www/html/logs/uploads/ralf
http://localhost:8080/wp-content/plugins/brandfolder/callback.php?
wp_abspath=/var/www/html/logs/uploads/ralf/
SSH-ключ пользователя
Флаг пользователя
Пользователь john
WordPress — менеджер паролей
В охоте за учетными данными нам нужно пройти по всем местам, где они
потенциально могут храниться. В данном случае сперва из файла wp-config.
php мы получаем логин и пароль для подключения к базе данных, которую
использует WordPress.
WWW
Сгенерировать пароль для WordPress можно
на сайт е useotools.com.
Содержимое переписки
Исходные конфигурации
Измененные конфигурации
Исходные конфигурации
Измененные конфигурации
Но, как можно было заметить еще в самом конфиге, файл 2019.vdi зашиф‐
рован. Поэтому используем pyvboxdie-cracker для брута пароля.
Монтирование образа
Взлом LUKS
Linux Unified Key Setup — спецификация формата шифрования дисков,
нацеленная на использование в ОС с ядром Linux. Главной целью технологии
было обеспечить удобный для пользователя стандартизированный способ
управления ключами.
Так как мы уже имеем доступ к самому разделу, мы можем пробрутить его.
Для этого будем использовать bruteforce-luks. Чтобы не мучиться со сбор‐
кой, загрузим из репозитория готовые исполняемые файлы.
Содержимое диска
Поиск паролей
Флаг рута
Машина захвачена, и флаг рута у нас, но еще нужно убрать за собой на своей
локальной машине все, что мы намонтировали: