Enumeration
Zenmap:
Ffuf
Website
Kiểm tra website:Thử tạo một tài khoản và login nó:Hệ thống hiển thị page với thông tin Patient của tôi. Kiểm tra burp:Tôi thấy Acctype được để mặc định là 1. Tạo một user khác với Acctype khác. Khi đó tôi biết rằng với Acctype là 2 tôi có thông tin page profile như sau:Website portal
Thử với user name doctor mà tôi vừa tạo với Ref.Number ngẫu nhiên fuzz nó. Nhưng không có gì sảy ra.Thử trèn access_token từ domain meddigi.htb vào domain portal.meddigi.htb.
Khi đó website của tôi có thể được truy cập như sau:Kiểm tra Prescriptions pageTừ request trong burp tôi trèn:
Trong response, sử dụng Set-Cookie để thêm access_token.Nhận thấy rằng ở đây có tồn tại một lỗ hổng ssrf. Thử tìm kiếm port local có thể tồn tại với Intruder in burpsuite:
Khi đó tôi nhận được kết quả attack như sau:Tôi thấy port 8080 có tồn tại. Khi đó tôi nhận được kết quả sau từ website:Trong khi đó ở page ExamReport. Khi tôi cố gắng upload bất kỳ một file pdf nào lên:Khi đó kết quả trên lỗ hổng ssrf trên port 8080 sẽ hiển thị file mà tôi vừa upload:
Gaining access svc_exampanel
Khi cố gắng upload một file khác pdf tôi nhận được một thông báo lỗi.
Thêm magic byte pdf, tôi đã nhận được kết quả sau:
Khi đó kết quả trên lỗ hổng ssrf trên port 8080 sẽ hiển thị file aspx mà tôi vừa upload:Kích hoạt rce và tôi có shell như sau:
Gaining access devdoc
Kiểm tra các file và folder trong thư mục C:\inetpub
Download file ExaminationManagement.dllĐối với linux: sử dụng smbserver.
Đối với windows: chỉ cần share folder và turn off password protectec sharing.
Decompiler file dll với dnSpyThử đọc registry key này: reg query
Sau khi đọc xong tôi thấy một nó giống như password thử kiểm tra nó với evil-winrn. Tôi nhận được shell devdoc:
Privilege escalation
Dowload ReportManagement.exe và decompiler
Tôi thấy folder Libraries:
Với:
Khi đó tôi có khai thác như sau:
forward port 100 with chisel
Tạo payload and upload
Khai thác:
Tôi đang bắt đầu tuần mới với một núi công việc. :'( :D