Привет Форумчане!
Продолжаем рассматривать CTF с площадки HackTheBox, одна из таких интересных коробок по Linux будет разобрана в этой статье, не буду томить... Начнём!

Данные:
Задача: Скомпрометировать машину на Linux и взять два флага user.txt и root.txt
Основная рабочая машина: Kali Linux 2021.3
IP адрес удаленной машины -10.10.10.185
IP адрес основной машины -10.10.14.34

Начальная разведка и сканирование портов:
Как всегда начинаем с сканирования портов удаленной рабочей машины, nmap поможет нам в этом:

Пока что мы сканируем только самые популярные порты. Посмотрим какой результат нам выдал nmap:



Видим два открытых порта 22/ssh и 80/http на сервере Apache 2.4.29. Зайдем на страницу этого сервера:



Видим какую-то галерею с космосом на заднем фоне, давайте откроем исходный код страницы:



Немного пролистав горизонтально код, мы натыкаемся на полный путь папки /images/uploads/ - видимо где-то здесь есть место для загрузки файлов.
Давайте воспользуемся Dirsearch в связке с Gobuster. Что это за инструменты и для чего они нужны нам, как веб-пентестерам:

Dirsearch - это простая утилита терминала, предназначенная для брут-форса директорий и файлов по сайту. Он также способен искать известные файлы по заданным расширениям
Gobuster - один из самых мощных и быстрых инструментов. Он использует сканер каталогов, написанный на языке Go, он быстрее и гибче, чем интерпретируемый скрипт.

С помощью параметра -u мы указываем ссылку на веб-сайт, параметр -wвыбирает наш список по которому и будет происходить брут-форс, а параметр -e указывает допустимые или дополнительные расширения файлов.



В Gobuster всё аналогично, кроме его параметра dir, этот параметр указывает что нужно перебирать директории, у Gobuster'а есть ещё несколько параметров поиска. Например таких как: vhost (Виртуальные хосты), dns (поддомены) и s3 (Перебор Amazon S3 buckets).



К сожалению все переборы директорий закончились не очень удачно, так как они перенаправляют нас на 403 error (Нет прав доступа), но это не всё, всегда есть другая точка входа, в нашем случае это страница входа в аккаунт -> login.php
Заходим на неё и видим следующее:



Веб-Эксплуатация и получение пользователя
Нам предлагают ввести имя пользователя и пароль, открываем BurpSuite и начинаем проламываться через эту форму. Первое что нам нужно сделать это перехватить запрос, далее отправим его в Repeater:



Здесь внимание стоит обратить на alert, он говорит нам что у нас неправильный логин или пароль, давайте попробуем обойти авторизацию с помощью sql-injection или проще называемой "скули"
В параметр username добавим строчку ' or 1=1 -- - это обычный обход авторизации с помощью sql-injection основанной на буллевых значениях...
Отправляем запрос и видим перенаправление 302 Follow Redirect, переходим и получаем:



Welcome Admin! Отлично мы админ, теперь видим перед собой форму загрузки файлов, попробуем загрузить наш PentestMonkey Reverse Shell с расширением .php



На что форма выдаёт ошибку где ссылается на то, что только файлы с расширениями JPG, JPEG И PNG доступны для загрузки.



Теперь очередь обхода - этой формы загрузок, с помощью ExifTool (программы для просмотра метаданных) отредактируем комментарий в изображении скопировав туда обычный php reverse shell cmd:

Теперь чтобы прогружать скрипт, а не саму картинку - переименуем её вrunme.php.jpg и загрузим.
После успешной загрузки, мы вспоминаем про путь /images/uploads/добавляем сюда наше имя файла и можем успешно добавлять POST запрос к нашему скрипту -



Иии... Ура! У нас есть cmd webshell, давайте сделаем бэк-коннект до себя, добавив в URL



Есть! Мы получили обратную оболочку, теперь мы будем спускаться по директориям вниз и параллельно смотреть содержимое интересных файлов, например такого как - db.php5 лежащего в директории /var/www/Magic:



А вот и данные от базы данных, давайте посмотрим какие у нас есть пользователи, в папке /home/ есть только один пользователь - theseus
Теперь давайте попробуем войти в его аккаунт с паролем iamkingtheseus, но этот пароль не подошёл к нему, хорошо, тогда сдампим базу данных через mysqldump:

Через параметр -B передаём имя БД, а через -u имя пользователя и -pпароль:



И получаем имя пользователя admin и пароль Th3s3usW4sK1ng
Уж на этот раз, это точно должен быть пароль от пользователя theseus, подставим его:



Да! Мы нашли пользовательский пароль. Зайдем в домашнюю директорию и выведем пользовательский флаг:



Повышение привилегий
Теперь попробуем найти все SUID файлы:

Код:

find / -perm -u=s -type f 2>/dev/null

Эта команда выдаст нам все файлы, с разрешениями владельца файла которые мы можем выполнить и среди них мы видим интересный файл /bin/sysinfo.
Так как это бинарный файл, давайте посмотрим его строки:



Среди строк мы находим уязвимость PATH Injection, так как утилита fdisk подгружается программой не через полный путь к нему! Попробуем это использовать, загрузим свой файл fdisk со следующим содержимым:



Он будет содержать в себе самый обычный Bash Reverse Shell, итак откроем у себя порт через интересную утилитуRlwrap.

Rlwrap - это отличная утилита суть которой заключается в упрощении управления пользовательским вводом, проще говоря вы сможете использовать стрелочки для редактирования и вставления прошлых команд из терминала при tty шелле!

Запустим его в связке с Netcat на порту 9998:



Загружаем наш файл на удаленную машину через Python модуль http.server с портом 80:



Теперь скачиваем наш файл в папку /tmp/ через wget:

Надо дать права на выполнения этому файлу, используем команду chmod:

Теперь самая важная деталь этой уязвимости в честь чего она и названа эта инъекция - PATH (путь).

Нам нужно изменить путь запуска на наш, т.е /tmp/ - сделаем это командойexport:

Запустим наш бинарный файл /bin/sysinfo и посмотрим наши подключения!



Поздравляю, мы получилиroot!

Выводы:
Эта CTF научила нас:
1) Пользоваться уязвимостью для обхода форм авторизаций на основе sql-инъекции
2) Обходить фильтрацию загрузки файлов и загружать туда шелл.
3) Брутить директории и файлы сайтов.
4) Использовать уязвимость PATH Injection.
5) И просто творить магию)

Спасибо, за то что вы прочитали мою статью! Скоро буду