HTB Late. Эксплуатируем инъекцию шаблонов в сервисе обработки изображений

Разведка

Сканирование портов

До­бав­ляем IP-адрес машины в /etc/hosts:

И запус­каем ска­ниро­вание пор­тов.

На­ходим все­го два откры­тых пор­та:

• 22 — служ­ба OpenSSH 7.6p1;
• 80 — веб‑сер­вер Nginx 1.14.0.

Бру­тить SSH смыс­ла нет, поэто­му начина­ем иссле­дова­ние с веб‑сер­вера.

Заг­лянем на сайт через бра­узер.

Точка входа

На сай­те видим все­го две стра­ницы: Home (текущая) и Contact. Поп­робу­ем поис­кать скры­тый кон­тент.

За­пус­каем ffuf:

Сно­ва ничего инте­рес­ного. Тог­да перей­дем к ска­ниро­ванию фай­лов HTML (ведь нас встре­тили имен­но такие ста­тичес­кие стра­ницы):

И сно­ва ничего нового. Тог­да я решил прос­мотреть исходни­ки стра­ниц и сра­зу обна­ружил в тек­сте ссыл­ку, ведущую на дру­гой под­домен!

Най­ден­ный под­домен добавим в файл /etc/hosts и заг­лянем на рас­положен­ный там сайт.

Нас встре­чает пре­обра­зова­тель изоб­ражений в текст, написан­ный с исполь­зовани­ем Flask, а это зна­чит, что нуж­но сра­зу про­верить наличие уяз­вимос­тей SSTI.

Точка опоры

Я решил отпра­вить пер­вое попав­шееся под руку изоб­ражение, что­бы пос­мотреть, как работа­ет этот кон­вертер, и в ответ получил зап­рос на сох­ранение фай­ла. Файл содер­жал весь текст с отправ­ленно­го изоб­ражения, зак­лючен­ный в тег <p>.

От SSTI к RCE

Раз мы можем управлять кодом на стра­нице, поп­робу­ем про­экс­плу­ати­ровать SSTI.