Die zunehmende Komplexität moderner Webanwendungen eröffnet Angreifern vielfältige Angriffspunkte, die es zu erkennen und zu beheben gilt. Eine besonders kritische Sicherheitslücke stellt die Local File Inclusion (LFI) dar, die es einem Angreifer erlaubt, lokale Dateien auf einem Server einzubinden und auszulesen. In Kombination mit anderen Schwachstellen kann dies den vollständigen Zugriff auf ein Zielsystem ermöglichen. Ein aktuelles Beispiel, das in der Cybersecurity-Community für Aufsehen sorgt, ist die Hack The Box Maschine Heal, die eine solche LFI-Schwachstelle in einem Ruby on Rails Projekt offenbart und eine Vielzahl von Angriffsschritten für Penetrationstester bereithält. Dieser Beitrag widmet sich der praxisorientierten Ausnutzung dieser Schwachstelle und bietet tiefgehende Einblicke in den Angriffsverlauf.
Der initiale Schritt jeder erfolgreichen Penetration beginnt mit sorgfältiger Aufklärung. Um die Heal-Maschine effizient anzusteuern, ist eine präzise Netzwerkkonfiguration essenziell. Dazu wird der Hostname ‚heal.htb‘ im lokalen Hosts-File mit der IP-Adresse der Maschine verknüpft, um eine problemlose Namensauflösung zu gewährleisten. Anschließend erfolgt die klassische Port- und Dienstesuche mittels Nmap.
Hierbei offenbaren sich primär zwei geöffnete Ports: der SSH-Dienst auf Port 22 und ein Webserver auf Port 80, der mit Nginx 1.18.0 betrieben wird. Da SSH eine Authentifizierung erfordert und ohne Zugang vorerst wenig wertvoll ist, richtet sich die Aufmerksamkeit auf den über Port 80 zugänglichen Webserver. Die erste Interaktion mit der Website zeigt auf den ersten Blick wenig Auffälligkeiten.
Erst die Analyse des Traffics mithilfe von Tools wie Burp Suite liefert Hinweise auf zusätzliche Unterdomänen, angefangen mit api.heal.htb, die das Backend von Heal darstellt und die Verwendung von Ruby on Rails in der Version 7.1.4 offenbart.
Nach erfolgreicher Registrierung und Anmeldung auf der Hauptseite erfolgt ein Redirect zu einer Nutzerseite, die personalisierte Daten erfasst und an das Backend übermittelt. Die genaue Untersuchung des API-Endpunkts führt zur Entdeckung der LFI-Schwachstelle. Durch geschickte Manipulation der Eingabeparameter gelingt es, beliebige lokale Dateien des Servers auszulesen. Die Implementation der LFI erlaubte es dem Angreifer beispielsweise, sensible Konfigurationsdateien wie /etc/passwd auszulesen, was erste Einblicke in die Benutzerstruktur des Systems gibt. Die Identifikation der LFI-Nutzung basiert auf dem Fehlerverhalten der Anwendung und der Analyse des Antwortinhalts beim Einsatz von Pfad-Traversal-Techniken.
Durch geschickte Verkettung mit einer Remote Code Execution (RCE)-Schwachstelle im LimeSurvey-Modul, das auf dem gleichen Zielserver betrieben wird, kann der Angreifer die Ausführung von beliebigem Code initiieren. Diese Kombination aus LFI und RCE bildet einen mächtigen Hebel. Mit Zugriff auf die Shell des Systems werden erweiterte Angriffe möglich, darunter das Auslesen weiterer Systemeigenschaften und das Vorantreiben der Privilegienerhöhung. Die weitere Vorgehensweise beinhaltet die Suche nach weiteren Schwachstellen im Hinblick auf lokale Eskalationen. Ein Bug in der API der Consul Systemsoftware wird entdeckt, der es erlaubt, mit Hilfe bestimmter API-Aufrufe oder falsch konfigurierter Tokens Rechte zu erhöhen und so Zugang als root zu erhalten.
Diese Art von Privilegieneskalation ist in Penetrationstests außerordentlich wertvoll, da sie die volle Kontrolle über das Zielsystem ermöglicht. Ein sicherer Umgang mit solchen Tests erfordert stets die Verwendung von anonymisierenden Maßnahmen und virtuellen Umgebungen. Wie auch von Hack The Box selbst empfohlen, sollte der Test nur in kontrollierten Umgebungen oder Sandboxen erfolgen, um Sicherheitsrisiken im eigenen Netzwerk zu vermeiden. Gerade bei sensiblen Systemen oder Daten ist äußerste Vorsicht geboten, da eine Fehlkonfiguration oder unsachgemäßer Umgang zu Datenverlust oder Kompromittierung führen kann. Die Fallstudie der Heal-Maschine auf Hack The Box zeigt exemplarisch, wie moderne Webapplikationen vielfache Angriffsmöglichkeiten bieten können, wenn Sicherheitskonzepte nicht stringent umgesetzt werden.
Die Local File Inclusion in einem Ruby on Rails Projekt öffnet die Tür für tiefgehende Systemeinblicke, die mit anderen Schwachstellen direkt in eine vollständige Übernahme überführt werden können. Die Kombination aus HTTP-Basisinformationen, der Schwachstellendefinition bis hin zur finalen Privilegieneskalation ist ein Paradebeispiel für realistische Angriffsszenarien in der heutigen IT-Sicherheit. Für Sicherheitsexperten und Penetrationstester bietet dieses Szenario eine seltene Gelegenheit, die theoretischen Konzepte rund um LFI, RCE und lokale Eskalation praktisch nachvollziehbar umzusetzen. Es fördert das Verständnis dafür, wie einzelne Schwachstellen in komplexen Umgebungen genutzt und zu einer Kette von Angriffsschritten verbunden werden können. Zudem zeigt es die Wichtigkeit von Mehrfachverteidigungsstrategien auf – von sicherem Coding über restriktive API-Konfigurationen bis hin zu regelmäßigen Systemupdates und Monitoring.
Insgesamt demonstriert die Analyse und Exploitation der Heal-Maschine anschaulich die Herausforderungen und Chancen im Bereich moderner Websicherheit. Die Kombination von Ruby on Rails als Framework, verschiedenen Dienstkomponenten und bekannten Schwachstellen in realitätsnahen Penetrationstest-Umgebungen wie Hack The Box stellt eine wertvolle Lernplattform für alle dar, die sich praxisnah mit IT-Sicherheit befassen möchten. Nur wer solche Angriffe versteht und gezielt abwehrt, kann seine Systeme nachhaltig schützen und den heutigen Bedrohungen effektiv begegnen.
