HTB Love. Захватываем веб-сервер на Windows и Apache через SSRF

Разведка. Сканирование портов

Ад­рес машины — 10.10.10.239, добав­ляем его в /etc/hosts.

И ска­ниру­ем пор­ты.

Ви­дим мно­жес­тво откры­тых пор­тов и работа­ющих на них служб:

• пор­ты 80, 5000 — веб‑сер­вер Apache 2.4.46;
• порт 135 — служ­ба уда­лен­ного вызова про­цедур (Microsoft RPC);
• порт 139 — служ­ба имен NetBIOS;
• порт 443 — веб‑сер­вер Apache 2.4.46 + OpenSSL 1.1.1j;
• порт 445 — служ­ба SMB;
• порт 3306 — СУБД MySQL;
• порт 5040 — неиз­вес­тно;
• пор­ты 5985, 5986 — служ­ба уда­лен­ного управле­ния Windows (WinRM).

Пер­вым делом про­веря­ем, что нам может дать SMB (коман­да smbmap -H love.htb), но для ано­нима ничего не дос­тупно. Поэто­му перек­люча­емся на веб. При ска­ниро­вании пор­та 443 мы получи­ли информа­цию из сер­тифика­та, отку­да узна­ем о еще одном сай­те — staging.love.htb. Этот домен тоже добав­ляем в /etc/hosts.

Те­перь вни­матель­но изу­чим оба сай­та в поис­ках точек для вхо­да, имен поль­зовате­лей и дру­гой важ­ной инфы. Сайт love.htb встре­чает нас фор­мой авто­риза­ции, но нам ста­новит­ся извес­тна исполь­зуемая тех­нология — Voting System.

Точка входа

Voting System — это нес­ложная голосо­вал­ка, написан­ная на PHP. Навер­няка для нее дол­жны быть готовые экс­пло­иты. Запус­каем searchsploit из Kali Linux и находим сра­зу нес­коль­ко.

Нас инте­ресу­ют четыре пос­ледних экс­пло­ита:

1. Пер­вый экс­плу­ати­рует SQL-инъ­екцию для обхо­да авто­риза­ции.
2. Вто­рой даст уда­лен­ное выпол­нение кода через заг­рузку фай­лов, одна­ко мы дол­жны быть авто­ризо­ваны в сис­теме.
3. Пред­послед­ний экс­пло­ит даст уда­лен­ное выпол­нение кода без авто­риза­ции.
4. Пос­ледний — Time based SQL-инъ­екция, тоже без авто­риза­ции.