# DMZ DBO(10.10.10.25) ## Описание А это их сервер ДБО для юридических лиц. Мы точно знаем, что где-то в приложении есть "скрытая" панель для администрирования системы. Попробуй ее найти и получить к ней доступ. Если там ты сможешь найти каких-нибудь клиентов банка, мы сможем вывести их деньги. Присылай, что найдешь. ## Краткое описание уязвимостей Панель администрирования обнаруживается по угадываемому URL. Используется массовое присвоение параметров модели пользователя через изменение `Content-Type`. Пароли от учетных записей хранятся в открытом виде. # Решение ## Исследование сервера Административная панель находится по URL `/deploy` . ![Admin Panel](https://i.imgur.com/vFEn6YI.png) После аутентификации становится доступна форма для регистрации новых пользователей. ![New User Form](https://i.imgur.com/jGLRqWn.png) URL `/deploy/clients` недоступно с ошибкой `Access Denied!`. Смена `Content-Type` на `application/json` и добавление несуществующего параметра вызывает ошибку `500`. ![Error](https://i.imgur.com/8zJMdhX.png) ## Подготовка эксплоита и исполнение С помощью перебора параметров в запросе на добавление нового пользователя нужно найти параметр `is_admin` и поставить его в значение `true`. ![Param](https://i.imgur.com/aSEplBo.png) После чего аутентифицироваться за нового пользователя и войти в панель с клиентами. ![Flag1](https://i.imgur.com/daxMgvK.png) Используя учетные данные пользователя №1, можно войти в учетную запись ДБО и выполнить перевод по указанным реквизитам. ``` ИНН контрагента 7721560890 КПП контрагента 056501437 Счет контрагента 40702810100030100000 БИК Банка 044525225 Название Банка ПАО СБЕРБАНК Кор. счет Банка 30101810400000000225 ``` ![DBO](https://i.imgur.com/orjlE4h.png)
Last changed by  
BSC
Bank Security Challenge - Cyber Security Competition
270

Read more

Transaction Zone

Описание У нас мало времени. В банке начали что-то подозревать, поэтому, как получишь доступ к какой-то машине, присылай нам ip-адрес. Наша команда OSINT нашла исходный код от какого-то продукта банка, может быть тебе пригодится. Исходный код расположен по ссылке. Содержимое файла TransactionPool.java package ru.bank.currency; import freemarker.template.Configuration; import freemarker.template.Template; import freemarker.template.TemplateException;

10/3/2022
SPB Department

Enumeration Сканируем сеть и ищем рабочие хосты: nmap -sn --min-parallelism 300 --min-rate 200 10.10.0.0/16 Видим, что имеется один сервер без домена, а также 2 домена test.spb и bank.spb. Скорее всего, тестовый домен защищен в меньшей степени и как-то связан с основным доменом. Также находим СУБД MSSQL на узле SQLTEST. SQLTEST (10.10.2.205) На узле имеется СУБД MSSQL, проверим на стойкость пароль учетной записи "sa".

10/3/2022
MSK Department

Enumeration Сканируем сеть и ищем рабочие хосты: nmap -sn --min-parallelism 300 --min-rate 200 10.10.0.0/16 Server Front (10.10.1.100) В результате сканирования замечаем подозрительный HTTP-порт 80/tcp на узле 10.10.1.100. На данном узле обнаруживается кастомный сервис для хранения файлов. Поле, принимающее путь в сети интернет до файла, уязвимо для SSRF.

10/2/2022
DMZ NTLM(10.10.10.30)

Описание Здесь расположен корпоративный портал управления сотрудниками. Нам нужно получить как можно больше информации о сотрудниках, поэтому попробуй получить доступ к системе. Кстати, забыл сказать, у нас есть мощная машина для брутфорса хешей. Краткое описание уязвимостей Доступны функции для загрузки XML-документов. XXE → SSRF2SMB PassTheHash для прохождения веб-аутентификации с помощью NTLM-хеша. SQL-инъекция в параметрах поиска. Включенный xp_cmdshell.

9/30/2022
Read more from BSC
Published on HackMD