Zachovajte pokoj a zaseknite sa na skrinke - chromý

Hack The Box (HTB) je online platforma, ktorá vám umožňuje vyskúšať si svoje schopnosti penetračného testovania. Obsahuje niekoľko výziev, ktoré sa neustále aktualizujú. Niektoré simulujú scenáre reálneho sveta a niektoré sa skôr prikláňajú k výzve typu CTF.

Pozn . Povolené sú iba zápisy vyradených strojov HTB.

Lame je prvý stroj zverejnený na serveri Hack The Box a je určený pre začiatočníkov, ktorí na získanie prístupu root potrebujú iba jeden exploit.

Nasledujúce nástroje použijeme na zastavenie poľa v poli Kali Linux

  • nmap
  • zenmap
  • searchsploit
  • metasploit

Krok 1 - Skenovanie siete

Prvým krokom pred použitím zariadenia je vykonať trochu skenovania a prieskumu.

Toto je jedna z najdôležitejších častí, pretože určuje, čo môžete neskôr vyskúšať. Vždy je lepšie venovať tejto fáze viac času, aby ste získali čo najviac informácií.

Použijem Nmap (Network Mapper). Nmap je bezplatný a otvorený zdrojový program na zisťovanie sietí a bezpečnostné audity. Používa surové pakety IP na zistenie, ktorí hostitelia sú v sieti k dispozícii, aké služby títo hostitelia ponúkajú, aké operačné systémy používajú, aký typ filtrov paketov / brán firewall sa používajú a aké sú ďalšie vlastnosti.

S týmto nástrojom môžete na skenovanie siete použiť veľa príkazov. Ak sa o nej chcete dozvedieť viac, môžete si pozrieť dokumentáciu tu

Nasledujúci príkaz používam na získanie základnej predstavy o tom, čo skenujeme

nmap -sV -O -F --version-light 10.10.10.3

-sV: Otestujte otvorené porty, aby ste určili informácie o službe / verzii

-O: Povoliť detekciu OS

-F: Rýchly režim - Naskenuje menej portov ako predvolené

--version-light: obmedzenie na najpravdepodobnejšie sondy (intenzita 2)

10.10.10.3: IP adresa Chromého poľa

Môžete tiež použiť Zenmap, čo je oficiálne grafické rozhranie Nmap Security Scanner. Jedná sa o multiplatformovú, bezplatnú a otvorenú aplikáciu, ktorej cieľom je uľahčiť začiatočníkom použitie Nmapu a zároveň poskytnúť pokročilé funkcie skúseným používateľom Nmapu.

Na vykonanie intenzívneho skenovania používam inú sadu príkazov

nmap -A -v 10.10.10.3

-A: Povoliť detekciu OS, detekciu verzií, skenovanie skriptov a traceroute

-v: Zvýši úroveň výrečnosti

10.10.10.3: IP adresa Chromého poľa

Ak sa vám výsledky zdajú príliš ohromujúce, môžete prejsť na kartu Porty / Hostitelia a získať iba otvorené porty

Vidíme, že existujú 4 otvorené porty:

Prístav 21 . Ovládací prvok (príkaz) File Transfer Protocol (FTP)

Prístav 22 . Secure Shell (SSH), zabezpečené prihlásenia, prenosy súborov (scp, sftp) a presmerovanie portov

Prístav 139 . Služba relácie NetBIOS

Prístav 445 . Zdieľanie súborov SMB Microsoft-DS (adresárové služby)

Uvidíme, čo môžeme získať s prvým portom

Krok 2 - Zraniteľný FTP

Použijeme Searchsploit na kontrolu, či nie je známa zraniteľnosť na vsftpd 2.3.4. Searchsploit je vyhľadávací nástroj príkazového riadku pre Exploit Database

Používam nasledujúci príkaz

searchsploit vsftpd 2.3.4

Teraz, keď už vieme, že existuje zraniteľnosť - Backdoor Command Execution - skúsme ju zneužiť

Použijeme Metasploit. Jedná sa o rámec testovania prieniku, ktorý zjednodušuje hackovanie. Je to nevyhnutný nástroj pre mnohých útočníkov a obrancov

Spustím Metasploit Framework na Kali a hľadám príkaz, ktorý by som mal použiť na spustenie exploitu

Pomocou príkazu vyhľadám všetky dostupné užitočné zaťaženia

search vsftpd 2.3.4

Vidíme, že existuje niekoľko rôznych činov, ale ten, ktorý nás zaujíma, je číslo 4

exploit/unix/ftp/vsftpd_234_backdoor

Na zneužitie používam nasledujúci príkaz

use exploit/unix/ftp/vsftpd_234_backdoor

Týmto sa spustí exploit. Týmto príkazom zobrazím dostupné možnosti

show options

Vidíte, že vzdialený hostiteľ (RHOSTS) ešte nie je nastavený. Nastavím vzdialeného hostiteľa aj cieľ, pretože tieto dve informácie sú potrebné na spustenie exploitu

Nasledujúcim príkazom nastavím vzdialeného hostiteľa pomocou adresy IP poľa HTB Lame

set RHOSTS 10.10.10.3

Potom som pri kontrole možností nastavil cieľ na 0 tak, ako je zobrazený

set TARGET 0

Teraz môžeme spustiť exploit

Bohužiaľ vidíme, že aj keď je exploit dokončený, nebola vytvorená žiadna relácia. Zraniteľnosť bola opravená, ako je tu uvedené, v popise zneužitia.

Tento modul využíva škodlivý zadný vrátok, ktorý bol pridaný do archívu na stiahnutie VSFTPD. Táto zadná vrátka bola podľa najnovších dostupných informácií zavedená do archívu vsftpd-2.3.4.tar.gz medzi 30. júnom 2011 a 1. júlom 2011. Táto zadná vrátka bola odstránená 3. júla 2011.

Databáza Exploit je archívom verejných zneužitia a zodpovedajúcim zraniteľným softvérom vyhovujúcim štandardu CVE (Common Vulnerabilities and Exposures), ktorý vyvinuli na použitie testermi penetrácie a výskumníkmi zraniteľností. Cieľom je slúžiť najkomplexnejšej zbierke exploitov zhromaždených prostredníctvom priamych podaní, zoznamov adries a ďalších verejných zdrojov a prezentovať ich vo voľne dostupnej a ľahko prehľadateľnej databáze. Databáza Exploit je úložiskom skôr na zneužitie a overenie koncepcií ako na poradenstvo, čo z neho robí cenný zdroj pre tých, ktorí okamžite potrebujú použiteľné údaje.

Musíme si nájsť inú cestu. Poďme sa pozrieť na iný port!

Krok 3 - Zraniteľná Samba

Ak si pamätáte z 1. kroku - Skenovanie siete, zistili sme, že bol otvorený port 445 - Samba smbd 3.0.20-Debian. Uvidíme, či nájdeme nejaké zraniteľné miesta v okolí tejto konkrétnej verzie

Ak sa chcete dozvedieť viac o Sambe, choďte sem. Ale pre túto skrinku nie je potrebná hlboká znalosť Samby.

Vrátime sa späť do Searchsploit a skontrolujeme

Používam nasledujúci príkaz

searchsploit Samba 3.0.20

Vidíme, že existuje príkazové spustenie mapovacieho skriptu „Používateľské meno“, ktoré by sme mohli spustiť pomocou Metasploitu. Poďme to skúsiť!

Späť na Metasploit a kontrolu príkazu, ktorým by sme mali spustiť exploit. Používam nasledujúci príkaz

search Samba 3.0.20

Vidíme, že existuje niekoľko rôznych činov, ale ten, ktorý nás zaujíma, je číslo 15

exploit/multi/samba/usermap_script

Nájdete ho tiež na webovej stránke Exploit Database

Popis zneužitia

Tento modul využíva pri použití predvolenej možnosti konfigurácie „skript mapy používateľského mena“ nestabilitu vykonávania príkazov vo verziách Samba 3.0.20 až 3.0.25rc3. Zadaním používateľského mena obsahujúceho meta znaky shellu môžu útočníci vykonávať ľubovoľné príkazy.

Na zneužitie tejto chyby zabezpečenia nie je potrebné žiadne overenie, pretože táto možnosť sa používa na mapovanie používateľských mien pred autentifikáciou!

Späť na Metasploit, kde používam príkaz

use exploit/multi/samba/usermap_script

Týmto sa spustí exploit. Na zobrazenie dostupných možností používam nasledujúci príkaz

show options

Vidíte, že vzdialený hostiteľ (RHOSTS) ešte nie je nastavený.

Nasledujúcim príkazom nastavím vzdialeného hostiteľa pomocou adresy IP poľa HTB Lame

set RHOSTS 10.10.10.3

Teraz môžeme spustiť exploit

Bingo! Máme otvorený príkazový shell. Pozrime sa, čo nájdeme :)

Krok 4 - Hľadanie príznaku user.txt

Teraz môžeme hľadať prvý príznak user.txt

Pomocou nasledujúceho príkazu skontrolujem, kto som na tom stroji

whoami

K stroju máme prístup root. Máme silu! Začnime navigovať v priečinkoch

Pomocou nasledujúceho príkazu zobrazím zoznam všetkých súborov / priečinkov

ls

Presuňme sa do domovského priečinka a pozrime sa, čo nájdeme

Pomocou nasledujúceho príkazu sa prepnem do domovského adresára a potom uvediem zoznam všetkých súborov / priečinkov

cd home

Nemáme tu toľko informácií, upresnime to príkazom

ls -la

Vidíme, že existuje priečinok s názvom makis. Pozrime sa, čo je vo vnútri!

Našli sme súbor user.txt! Na prečítanie obsahu súboru používam príkaz

cat user.txt

Teraz, keď máme používateľský príznak, nájdime koreňový príznak!

Krok 5 - Hľadanie príznaku root.txt

Vráťme sa do koreňového adresára. Používam príkaz

cd ~

Na zistenie vašej polohy môžete použiť nasledujúci príkaz

pwd

Tu vidíme, že sme na úrovni / root, a ak uvedieme zoznam súborov / priečinkov, nájdeme súbor root.txt!

Na prečítanie obsahu súboru používam príkaz

cat root.txt

Gratulujem! Našli ste obe vlajky!

Neváhajte nás komentovať, klásť otázky alebo zdieľať so svojimi priateľmi :)

Viac mojich článkov si môžete pozrieť tu

Môžete ma sledovať na Twitteri alebo na LinkedIn

A nezabudnite na # GetSecure , # BeSecure & # StaySecure !

Ostatné články v tejto sérii

  • Zachovajte pokoj a zaseknite sa na schránke - dedičstvo
  • Zachovajte pokoj a zaseknite sa na schránke - vývoj
  • Buďte pokojní a hacknite krabicu - pípnite