Эксплуатация уязвимости Binwalk CVE-2022-4510

CVE-2022-4510 эксплуатация уязвимости Binwalk

В этой небольшой статье, в рамках прохождения уязвимой виртуальной машины Pilgrimage с площадки Hack The Box, я продемонстрирую эксплуатацию уязвимости Binwalk с идентификатором CVE-2022-4510.

Еще по теме: Эксплуатация уязвимости ImageMagick CVE-2022-44268

Эксплуатация уязвимости Binwalk CVE-2022-4510

После того, как мы получили доступ к хосту, нужно соб­рать информа­цию. Что­бы не тра­тить вре­мя на поис­ки и догад­ки, я в таких слу­чаях исполь­зую скрип­ты PEASS.

Заг­рузим на хост скрипт для Linux, дадим пра­во на выпол­нение и запус­тим ска­ниро­вание.

В дереве про­цес­сов видим скрипт /usr/sbin/malwarescan.sh, запус­кающий при­ложе­ние inotifywait.

cve-2022-4510 Де­рево про­цес­сов
Де­рево про­цес­сов

В спис­ке фай­лов, изме­нен­ных за пос­ледние пять минут, видим /var/www/pilgrimage.htb/shrunk/malicious.pfs. Этот же каталог переда­вал­ся inotifywait.

Пос­ледние изме­нен­ные фай­лы
Пос­ледние изме­нен­ные фай­лы

К тому же у нас есть пра­во записи в каталог /var/www/pilgrimage.htb/shrunk/ и фай­лы в нем.

cve-2022-4510 Фай­лы, дос­тупные для записи
Фай­лы, дос­тупные для записи

Даль­ше я обыч­но исполь­зую ути­литу pspy64, которая выводит информа­цию о запущен­ных про­цес­сах. Так обна­ружил­ся пери­оди­чес­кий запуск скрип­та /usr/sbin/malwarescan.sh от име­ни поль­зовате­ля root.

cve-2022-4510 Ло­ги pspy64
Ло­ги pspy64

Да­вай гля­нем, что это за скрипт.

cve-2022-4510 Со­дер­жимое фай­ла malwarescan.sh
Со­дер­жимое фай­ла malwarescan.sh

Здесь про­исхо­дит вызов прог­раммы Binwalk, которой пооче­ред­но переда­ются фай­лы из катало­га:

Binwalk — это инструмент для анализа и извлечения данных из бинарных файлов, таких как образы файловых систем, исполняемые файлы и другие. Он часто используется в кибербезопасности и реверс-инжиниринге. Тулза может автоматически искать в файле сигнатуры, такие как заголовки файлов, и выводить информацию о найденных данных.

Про­верим вер­сию исполь­зуемой прог­раммы и поищем экс­пло­иты для нее.

cve-2022-4510 Вер­сия прог­раммы Binwalk
Вер­сия прог­раммы Binwalk

По пер­вой ссыл­ке находим экс­пло­ит для уяз­вимос­ти CVE-2022-4510.

cve-2022-4510 Справ­ка по экс­пло­иту
Справ­ка по экс­пло­иту

Эта вер­сия Binwalk допус­кает обход катало­га через фун­кцию extractor в модуле plugins/unpfs.py. Ког­да Binwalk запус­кает­ся с парамет­ром -e, ата­кующий может извлечь фай­лы, находя­щиеся в любом катало­ге фай­ловой сис­темы.

Най­ден­ный экс­пло­ит соз­дает файл, который при обра­бот­ке извле­кает наг­рузку в каталог .config/binwalk/plugins. Наг­рузка — это реверс‑шелл, что дает нам воз­можность уда­лен­ного выпол­нения кода. Соз­даем такой файл и помеща­ем в каталог /var/www/pilgrimage.htb/shrunk/.

cve-2022-4510 Соз­дание фай­ла с наг­рузкой
Соз­дание фай­ла с наг­рузкой

За­пус­каем лис­тенер

И получа­ем бэк­коннект от име­ни рута.

cve-2022-4510
cve-2022-4510

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий