- BSC·Last edited by BSC on Sep 30, 2022Linked with GitHubContributed by
There is no commentSelect some text and then click Comment, or simply add a comment to this page from below to start a discussion.DMZ DBO(10.10.10.25)
Описание
А это их сервер ДБО для юридических лиц. Мы точно знаем, что где-то в приложении есть "скрытая" панель для администрирования системы. Попробуй ее найти и получить к ней доступ. Если там ты сможешь найти каких-нибудь клиентов банка, мы сможем вывести их деньги. Присылай, что найдешь.
Краткое описание уязвимостей
Панель администрирования обнаруживается по угадываемому URL.
Используется массовое присвоение параметров модели пользователя через изменение Content-Type.
Пароли от учетных записей хранятся в открытом виде.
Решение
Исследование сервера
Административная панель находится по URL /deploy .
Learn More →
После аутентификации становится доступна форма для регистрации новых пользователей.
Learn More →
URL /deploy/clients недоступно с ошибкой Access Denied!.
Смена Content-Type на application/json и добавление несуществующего параметра вызывает ошибку 500.
Learn More →
Подготовка эксплоита и исполнение
С помощью перебора параметров в запросе на добавление нового пользователя нужно найти параметр is_admin и поставить его в значение true.
Learn More →
После чего аутентифицироваться за нового пользователя и войти в панель с клиентами.
Learn More →
Используя учетные данные пользователя №1, можно войти в учетную запись ДБО и выполнить перевод по указанным реквизитам.
ИНН контрагента
7721560890
КПП контрагента
056501437
Счет контрагента
40702810100030100000
БИК Банка
044525225
Название Банка
ПАО СБЕРБАНК
Кор. счет Банка
30101810400000000225
Learn More →
Read more
Transaction Zone
Описание У нас мало времени. В банке начали что-то подозревать, поэтому, как получишь доступ к какой-то машине, присылай нам ip-адрес. Наша команда OSINT нашла исходный код от какого-то продукта банка, может быть тебе пригодится. Исходный код расположен по ссылке. Содержимое файла TransactionPool.java package ru.bank.currency; import freemarker.template.Configuration; import freemarker.template.Template; import freemarker.template.TemplateException;
Oct 3, 2022SPB Department
Enumeration Сканируем сеть и ищем рабочие хосты: nmap -sn --min-parallelism 300 --min-rate 200 10.10.0.0/16 Видим, что имеется один сервер без домена, а также 2 домена test.spb и bank.spb. Скорее всего, тестовый домен защищен в меньшей степени и как-то связан с основным доменом. Также находим СУБД MSSQL на узле SQLTEST. SQLTEST (10.10.2.205) На узле имеется СУБД MSSQL, проверим на стойкость пароль учетной записи "sa".
Oct 3, 2022MSK Department
Enumeration Сканируем сеть и ищем рабочие хосты: nmap -sn --min-parallelism 300 --min-rate 200 10.10.0.0/16 Server Front (10.10.1.100) В результате сканирования замечаем подозрительный HTTP-порт 80/tcp на узле 10.10.1.100. На данном узле обнаруживается кастомный сервис для хранения файлов. Поле, принимающее путь в сети интернет до файла, уязвимо для SSRF.
Oct 2, 2022DMZ NTLM(10.10.10.30)
Описание Здесь расположен корпоративный портал управления сотрудниками. Нам нужно получить как можно больше информации о сотрудниках, поэтому попробуй получить доступ к системе. Кстати, забыл сказать, у нас есть мощная машина для брутфорса хешей. Краткое описание уязвимостей Доступны функции для загрузки XML-документов. XXE → SSRF2SMB PassTheHash для прохождения веб-аутентификации с помощью NTLM-хеша. SQL-инъекция в параметрах поиска. Включенный xp_cmdshell.
Sep 30, 2022
HackMD