HTB Timing. Пентестим веб-сервер на PHP

Разведка

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

Наш­ли два откры­тых пор­та:

• 22 — служ­ба OpenSSH 7.6p1;
• 80 — веб‑сер­вер Apache 2.4.29.

На SSH нам ловить нечего, про­пус­каем его.

Пос­мотрим, что нам покажет веб‑сер­вер. При обра­щении к нему про­исхо­дит редирект на стра­ницу /login.php, где нас встре­чает фор­ма авто­риза­ции.

По­нят­но, что сайт не однос­тра­нич­ный, поэто­му поп­робу­ем най­ти скры­тые стра­ницы. Так как пер­вая стра­ница была в фор­мате PHP, осталь­ные будем переби­рать с таким же рас­ширени­ем. Я для это­го вос­поль­зуюсь ска­нером ffuf.

За­пус­каем его с нуж­ными парамет­рами:

Наш­ли мно­го фай­лов, теперь прос­каниру­ем и скры­тые катало­ги.

В ито­ге находим катало­ги для хра­нения скрип­тов и изоб­ражений. Боль­ше нам ничего не дос­тупно. Ска­ниро­вание фай­лов бэкапов и под­доменов ничего не дало. Но мы еще не поис­кали парамет­ры! Для ска­ниро­вания логич­но выб­рать стра­ницу image.php, которая пред­положи­тель­но дол­жна воз­вра­щать изоб­ражения. Так как мы не зна­ем, что будет переда­но в качес­тве зна­чения парамет­ра, поп­робу­ем передать само наз­вание стра­ницы в надеж­де получить какую‑нибудь ошиб­ку.

Мы наш­ли один параметр — img. То есть мы можем зап­росить файл с кар­тинкой по его наз­ванию. Поп­робу­ем таким спо­собом ута­щить какой‑нибудь сис­темный файл, задав отно­ситель­ный путь.

Нас пой­мали за руку!

Точка входа

Здесь, судя по все­му, исполь­зуют­ся какие‑то филь­тры, которые меша­ют нам читать любой файл. Я поп­робовал раз­ные вари­анты обер­ток для парамет­ра и обна­ружил, что сра­баты­вает зап­рос вот такого вида:

Со­дер­жимое этой стра­ницы, получен­ной в ответ, будет закоди­рова­но в Base64. Декоди­ровать мож­но пря­мо Burp, нажав Ctrl-Shift-B.

Так как мы можем получить код любой стра­ницы, идем по поряд­ку и заг­лядыва­ем в исходный код стра­ницы login.php.

В нем ничего инте­рес­ного нет, кро­ме под­клю­чения фай­ла db_conn.php (стро­ка 10). Здесь мы находим учет­ку для под­клю­чения к базе дан­ных. Конеч­но же, прос­мотрим и его.

Па­роль пока ни к чему не подошел, поэто­му копа­ем даль­ше. Перей­дем к фай­лам, о которых мы уже зна­ем. Нач­нем с upload.php.

В самом начале под­клю­чает­ся файл admin_auth_check.php. Затем зада­ются необ­ходимые парамет­ры для заг­ружен­ного фай­ла, в том чис­ле и file_name. Имя фай­ла соз­дает­ся по сле­дующе­му алго­рит­му: берет­ся стро­ка $file_hash, затем добав­ляет­ся текущее вре­мя (резуль­тат выпол­нения фун­кции time()), все это кон­верти­рует­ся в хеш MD5, а даль­ше добав­ляет­ся знак ниж­него под­черки­вания и имя фай­ла, которое исполь­зовалось при заг­рузке. При этом файл дол­жен иметь рас­ширение jpg. А в фай­ле admin_auth_check.php толь­ко срав­нива­ется роль поль­зовате­ля.

Ес­ли бы $file_hash кто‑то по ошиб­ке не обер­нул в кавыч­ки, то под­ста­вилось бы зна­чение перемен­ной, получен­ное от PHP-фун­кции uniqid(). Раз­гадать уни­каль­ный иден­тифика­тор у нас бы не выш­ло, а без него единс­твен­ной прег­радой будет вывод фун­кции time().

Впро­чем, пока что здесь боль­ше ничего не сде­лать, и при­дет­ся бру­тить фор­му авто­риза­ции. Для начала най­дем име­на поль­зовате­лей, к при­меру в фай­ле /etc/passwd.