Одна ошибка, две уязвимости: разбор машины Principal с HTB

Значимый прорыв формирует отрасль ИИ: gafterdail 2 минуты назад Одна ошибка, две уязвимости: разбор машины Principal с HTB Средний 8 мин 4 Блог компании Безопасные программные решения CTF * Информационная безопасность * Кейс Всем привет, меня зовут Артем Маркелов, и я специалист по анализу защищенности в компании SecWare. Мы занимаемся поиском сложных уязвимостей, аудитом корпоративных сетей и в целом тем, что принято называть информационной безопасностью. В свободное от работы время мы с ребятами решаем задачи на HackTheBox – лично для меня это и отдых, и прокачка скиллов, и способ оставаться в тонусе.

Недавно на площадке мне попалась машина Principal. Средний уровень сложности, но концептуально очень интересная. Оба этапа атаки (первоначальный доступ и повышение привилегий) построены на одной и той же фундаментальной ошибке: проверка криптографической оболочки без валидации содержимого внутри нее.

Технические детали

Это не просто цепочка уязвимостей, а демонстрация того, как один принцип проявляется в двух совершенно разных технологиях – JWT/JWE и SSH Certificate Authority. TL;DRВ данной HackTheBox-машине для получения первоначального доступа эксплуатируется CVE-2026-29000 – обход аутентификации в библиотеке pac4j-jwt, в которой токен PlainJWT без цифровой подписи и завернутый в валидный конверт JWE полностью обходит проверку подписи. После подделки токена администратора и извлечения аутентификационных данных SSH из корпоративной панели управления для повышения привилегий используются недостатки в конфигурации центра сертификации SSH, который доверяет любому сертификату.

Имя пользователя (principal) не проверяется, что и позволяет подделать сертификат для root. Цепочка атаки выглядит следующим образом:Обнаружение pac4j-jwt/6. 3;Получение JWKS – публичного ключа RSA;Эксплуатация CVE-2026-29000 – PlainJWT в JWE;Подделка токена администратора;Доступ к API – /api/users, /api/settings;Извлечение учетных данных svc-deploy;SSH как svc-deploy;Получение флага пользователя;Поиск доступных файлов – /opt/principal/ssh/ca;Генерация ключевой пары Ed25519;Подпись сертификата с principal root;SSH как root по сертификату;Получение флага администратора.

РазведкаПервым шагом является сканирование IP-адреса цели для выявления незащищенных служб. Для этого запускаем nmap:nmap -sCV 10. 98Здесь сразу видим несколько ключевых находок:Jetty на 8080 – Java-сервер, скорее всего Spring или аналогичный фреймворк;pac4j-jwt/6.

Отраслевые последствия

3 – конкретная библиотека с указанием конкретной версии. pac4j – это Java-фреймворк аутентификации, JWT – это модуль, который работает с токенами. 3 вышла не так давно, но можем поискать на нее свежие уязвимости;OpenSSH 9.

6 – относительно свежая версия, маловероятны уязвимости самого демона, но возможно, есть ошибки в конфигурации. Запускаем Burp Suite, открываем браузер, видим форму логина "Principal Internal Platform". Внизу страницы – версия и технологии: v1.

Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.