![](/uploads/posts/2022-08/03.jpg)
Содержание статьи
rsync
. Все это — чтобы пройти сложную машину Phoenix с площадки Hack The Box.Разведка
Добавляем IP виртуалки в /
:
10.10.11.149 phoenix.htb
И запускаем сканирование портов.
![Результат работы скрипта Результат работы скрипта](/uploads/posts/2022-08/02.png)
Нашли три открытых порта: 22 — служба OpenSSH 8.2p1, 80 и 443 — веб‑сервер Apache. Nmap отобразил для нас поле commonName
из сертификата на 443-м порте, но указанный там домен нам уже известен.
![Главная страница сайта phoenix.htb Главная страница сайта phoenix.htb](/uploads/posts/2022-08/03.jpg)
Захожу на сайт, и плагин Wappalyzer тут же сообщает, что используется WordPress. Поэтому сразу запустим сканер WPScan с полным перебором (параметр --plugins-detection
) установленных плагинов (параметр -e
) в 256 потоков (параметр -t
). Для автоматического определения уязвимостей можно получить на сайте API-токен и указать его приложению (это бесплатно). И чтобы нам не вернули ошибку проверки сертификата, отказываемся от самой проверки (--disable-tls-checks
).
wpscan --urlhttps://phoenix.htb/-e ap --plugins-detectionaggressive -t 256 --api-tokenKEDNckD8h7Ahn3WzqoSaxy1xa6RuLmx0nCl97cO83Dw --disable-tls-checks
![Результат работы WPScan Результат работы WPScan](/uploads/posts/2022-08/04.png)
Но WPScan, что удивительно, ничего не нашел. А вот сайт стал выдавать нам код 403 вместо ответов.
![Ответ сайта Ответ сайта](/uploads/posts/2022-08/05.png)
Это явный признак того, что тут работает Web Application Firewall (WAF).
Точка входа
Давай снова запустим WPScan — без агрессивного сканирования. По умолчанию он переберет самые популярные плагины.
wpscan --urlhttps://phoenix.htb/--api-tokenKEDNckD8h7Ahn3WzqoSaxy1xa6RuLmx0nCl97cO83Dw --disable-tls-checks
![Результат сканирования WPScan Результат сканирования WPScan](/uploads/posts/2022-08/06.png)
Мы нашли несколько уязвимостей в плагине Asgaros Forum.
И еще обязательно просканируем каталоги. Так как каталоги в списке отсортированы по популярности и используется популярная CMS, то, скорее всего, самые важные каталоги мы найдем еще до блокировки. Для сканирования используем легкий, но очень быстрый ffuf.
ffuf -uhttps://phoenix.htb/FUZZ -t 256 -wdirectory_2.3_medium_lowercase.txt
![Результат сканирования каталогов Результат сканирования каталогов](/uploads/posts/2022-08/07.png)
Присутствует каталог /
— видимо, это то, что мы искали.
![Страница forum Страница forum](/uploads/posts/2022-08/08.png)
WPScan не только сканирует и определяет уязвимость, но и предоставляет инструкцию по ее эксплуатации. Из уязвимостей наиболее привлекательна SQL-инъекция без авторизации.
![Детали уязвимости Asgaros Forum Детали уязвимости Asgaros Forum](/uploads/posts/2022-08/09.png)
Для подтверждения уязвимости нужно сделать всего один запрос. Обращаемся к странице forum
через Burp Repeater и добавляем параметр
?subscribe_topic=1%20union%20select%201%20and%20sleep(10)
Если уязвимость сработает, то сервер будет отвечать больше 10 с. Это подтверждает Repeater.
![Время ответа сервера в Burp Repeater Время ответа сервера в Burp Repeater](/uploads/posts/2022-08/10.png)
Уязвимость подтверждена, переходим к эксплуатации.
Точка опоры
Получение учетных данных WordPress
Это time-based «слепая» инъекция, то есть мы не получаем данные из таблицы в явном виде, а делаем вывод на основании выполнения определенного условия — в данном случае времени обработки запроса. Когда встречаешься с инъекциями такого типа, удобнее всего пользоваться автоматизированным средством эксплуатации. Нас в этом случае выручит sqlmap.
Скачать:
Скриншоты:
Важно:
Все статьи и материал на сайте размещаются из свободных источников. Приносим свои глубочайшие извинения, если Ваша статья или материал была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.