ное повышение привилегий на странице /admin/submit.php.

Рис.7.8. Autorize обнаружил проблему

Похоже, что хотя эта страница скрыта от обычных пользователей из-за ошибки 403 в точке входа панели администратора, она доступна напрямую и проверяеттолько, вошел ли пользователь в систему, а не наличие у него права администратора.

Нам не пришлось тщательно отслеживать все сделанные нами запросы, изменять идентификатор сеанса и воспроизводить их.Autorize сделал это за нас, и в результате мы получили интересную уязвимость, которую можно использовать для нелегальной авторизации.

Швейцарский нож

Одна из наиболее распространенных задач, которые мы выполняем, – со­ здание пользовательских списков слов на основе целевых данных, что увеличиваетшансынауспех,ноделатьэтонесколькоутомительно.Сценарийможно написать с помощью какого-нибудь языка вроде Python, но почему бы не сделать это напрямую в Burp?

Еще одна распространенная задача, которую вы выполняете, – запуск sqlmap-атак на определенный URL-адрес в приложении. Аутентифицированные атаки с использованием SQL-инъекций требуют, чтобы мы отправляли сеансовые­ куки-файлы в командной строке, а для атак через POST-запросы создание командной строки sqlmap может превратиться в трудоемкий про-

перехватывающего прокси-сервера, которые хорошо интегрируются с остальной частью пользовательского интерфейса и могут отлично управлять обменом данными между другими инструментами и Burp Suite.

Яужеговорилобэтомраньшеиещескажу.Будучиспециалистами,выполняющими тесты на проникновение, и членами Красной команды, мы знаем, что время–этонероскошь,котороймыделимсясплохимипарнями.Нашизадачи часто зависят от времени, а ресурсы на пределе. Копирование и вставка заголовка Cookie из Burp втерминалдля запуска sqlmap-атаки кажется небольшой проблемой,но ее нужно учитывать.Что,если приложение,являющееся объектом атаки,имеетнесколько потенциальныхточек SQL-инъекций? Что,если вы тестируете три или четыре разных приложения, которые не используют одни и те же учетные данные для входа? Автоматизация делает жизнь проще, позволяя нам действовать эффективнее.

Плагин CO2 можно скачать в BApp Store или на GitHub: https:// github.com/portswigger/co2.

Установить CO2 так же просто, как и любой другой плагин BApp Store. Он добавляет несколько опций в контекстное меню в Target, Proxy, Scanner и в других модулях. Многие запросы, сделанные через Burp, можно отправлять напрямую нескольким компонентам CO2. Это позволит заполнить большинство необходимых параметров, сэкономить время и снизить вероятность ошибки.

SQLMpper

CO2 предоставляет упаковку sqlmap в пользовательском интерфейсе Burp с метким названием SQLMapper. Если мы обнаружим потенциальную точку инъекции или, возможно, активный сканер Burp уведомит нас об уязвимости, где можно использовать SQL-инъекцию, мы можем отправить запрос прямо в SQLMapper с помощью контекстного меню (см. рис. 7.9).

На вкладке CO2 Extension раздел SQLMapper должен быть предварительно заполнен значениями из выбранного URL-адреса.

Наданном этапе можно настроитьSQLMapperтаким образом,чтобы он указывал на соответствующий сценарий sqlmap и двоичный файл python.

Дистрибутив Kali поставляется с уже установленной версией sqlmap, но самую последнюю и лучшую версию можно клониро-

вать из GitHub: https://github.com/sqlmapproject/sqlmap.

дает команду sqlmap, которую можно запустить через пользовательский интерфейслибо скопироватьи запуститьнепосредственно втерминале,который вам нравится.

Рис.7.12. Запуск sqlmap с выбранными параметрами

Используя кнопку Run, мы открываем новое окно терминала и запускаем sqlmap с выбранными параметрами.

sqlmap будет сохранять сеанс каждой атаки в папке в домашнем каталоге: ~/.sqlmap/output/[target].

root@kali:~/.sqlmap/output/c2.spider.ml# tree

.

├── log

├── session.sqlite └── target.txt

0 directories, 3 files root@kali:~/.sqlmap/output/c2.spider.ml#

Веб-оболочки

CO2также обеспечиваетпростой способ создания веб-оболочек для определенного числа серверных языков. Если нам удастся загрузить оболочку в один из этих блоков, понадобится простая безопасная оболочка, чтобы повысить привилегии и достичь цели.

поддерживающихASP,JSP,ASPX,JavaиPHP.Laudanumтакжепозволяетуказать случайный токен соединения и ограничить доступ по IP. Эти оболочки дают возможность выполнять код удаленно, и имеет смысл защищать их, пока не будет установлена более надежная реверсная оболочка.

В Laudanum можно указатьтип оболочки,которую нам нужно настроить,IPадреса, с которых будет разрешено подключение, и случайный токен, используемый для дополнительной защиты.

Процесс создания оболочки прост. Его шаги таковы:

1.Открываем вкладку Laudanum в CO2.

Выбираем тип оболочки. В нашем случае это PHP Shell.

2.Разделяем запятыми список IP-адресов без пробелов:

127.0.0.1,192.168.1.123.

3.Нажимаем кнопку Gen New Token,чтобы сгенерировать случайныйтокен.

Рис.7.13. Плагин Laudanum

Чтобы сохранить файл где-нибудь на диске, нажмите кнопку Generate File (Сгенерировать файл). Содержимое сгенерированной оболочки будет выглядеть как на рис. 7.14.

После ее загрузки в объект атаки, чтобы получить доступ к оболочке, нужно убедиться,что наш внешний IP-адрес совпадаетс одним из IP-адресов в белом списке, а также указать произвольно сгенерированный токен для каждого запроса.

Мы можем передать этоттокен, используя параметр URL-адреса laudtoken и команду для выполнения через laudcmd. Значения этих параметров также можно передать через метод POST.

Следует отметить, что даже с правильным токеном в URL-адресе запрос от неизвестного IP будет отклонен с ответом 404.

На рис. 7.15 мы тестируем простой веб-запрос с компьютера с Windows с помощью­ командлета PowerShell Invoke-WebRequest. Поскольку запрос не идет с какого-либо известного IP-адреса (которые мы указали при создании оболочки), запрос отклоняется.