![](/uploads/posts/2022-08/03.png)
Содержание статьи
Разведка
Сканирование портов
Начинаем, как водится, со сканирования портов исследуемой машины. Ее IP сразу добавляем в /
:
10.10.11.150 catch.htb
И запускаем сканирование портов.
![](/uploads/posts/2022-08/02.png)
![](/uploads/posts/2022-08/03.png)
![Результат работы скрипта Результат работы скрипта](/uploads/posts/2022-08/04.png)
Мы нашли несколько открытых портов:
- порт 22 — служба OpenSSH 8.2p1;
- порты 80 и 8000 — служба веб‑сервера Apache 2.4.41;
- порты 3000 и 5000 — какие‑то неизвестные приложения, работающие по протоколу HTTP.
Проходим к сайту на порте 80.
![Главная страница сайта catch.htb Главная страница сайта catch.htb](/uploads/posts/2022-08/05.png)
На сайте ничего необычного, скрытого или полезного не находим, кроме того, что предлагается загрузить какое‑то приложение.
![Окно загрузки приложения Окно загрузки приложения](/uploads/posts/2022-08/06.png)
После загрузки видим, что это программа для Android. На других портах работают Git (3000), чат Let’s Chat и платформа Cachet.
Точка входа
Как создать и развернуть виртуальную машину Android, а затем включить отладку, я уже писал в недавнем прохождении машины Routerspace, поэтому сразу перейдем к установке приложения.
adb install catchv1.0.apk
![Установка приложения с помощью ADB Установка приложения с помощью ADB](/uploads/posts/2022-08/07.png)
![Меню Android Меню Android](/uploads/posts/2022-08/08.png)
При запуске приложения получаем ошибку соединения, а также раскрываем новый поддомен, который сразу добавляем в /
.
![Ошибка соединения Ошибка соединения](/uploads/posts/2022-08/09.png)
10.10.11.150 catch.htb status.catch.htb
Указанный адрес ведет на порт 443, который на сервере закрыт, поэтому попробуем вытянуть из приложения еще какие‑нибудь данные. Для этого я буду использовать мини‑песочницу для Android-приложений MobSF. В ней есть возможность статического и динамического анализа. Если тебе неохота устанавливать макет на свой хост, то можно пользоваться уже развернутой онлайновой версией.
![Главная панель MobSF Главная панель MobSF](/uploads/posts/2022-08/10.png)
Загружаем приложение и получаем отчет по статическому анализу.
![Информация о загруженном файле Информация о загруженном файле](/uploads/posts/2022-08/11.png)
Из важного сразу отмечаем забитые в приложение токены.
![Найденные в приложении токены доступа Найденные в приложении токены доступа](/uploads/posts/2022-08/12.png)
По второму токену определяем, что наша следующая цель — Let’s Chat. Вставляем его как токен доступа в заголовок Authorization
.
![Измененный запрос на сервер Измененный запрос на сервер](/uploads/posts/2022-08/13.png)
Точка опоры
Чтобы этот токен автоматически вставлялся в каждый запрос, отправленный через браузер, воспользуемся функцией match/replace в опциях Burp Proxy. Там выбираем заголовок запроса в качестве типа и указываем замену пустого поля нашим заголовком.
![Опции Burp Proxy Опции Burp Proxy](/uploads/posts/2022-08/14.png)
Обновляем страницу чата в браузере, в результате чего получаем редирект на страницу /
и список групп.
![Список групп пользователя Список групп пользователя](/uploads/posts/2022-08/15.png)
Можем получить сообщения из группы, выполнив запрос на адрес /
.
![Сообщения из группы Сообщения из группы](/uploads/posts/2022-08/16.png)
В группе 61b86b28d984e2451036eb17
находим пересланные учетные данные пользователя john.
![Сообщение с учетными данными Сообщение с учетными данными](/uploads/posts/2022-08/17.png)
Пробуем ввести эту учетку на всех веб‑сервисах и получаем доступ к платформе Cachet.
![Форма авторизации Cachet Форма авторизации Cachet](/uploads/posts/2022-08/18.png)
![Главная страница Cachet Главная страница Cachet](/uploads/posts/2022-08/19.png)
Продвижение
В настройках платформы узнаем ее версию — 2.
.
![Параметры платформы Cachet Параметры платформы Cachet](/uploads/posts/2022-08/20.png)
Первым делом стоит проверить, есть ли для этой версии готовые эксплоиты. Самый надежный способ сделать это — поискать в интернете на сайтах вроде HackerOne, exploit-db и, конечно, GitHub.
![Поиск эксплоитов в Google Поиск эксплоитов в Google](/uploads/posts/2022-08/21.png)
В блоге Sonar описано несколько CVE. Нам интересна CVE-2021-39174, которая позволит прочитать переменные среды.
Скачать:
Скриншоты:
Важно:
Все статьи и материал на сайте размещаются из свободных источников. Приносим свои глубочайшие извинения, если Ваша статья или материал была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.