• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

CTF CTF. Challenge. Hack The Sedna

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 347
BIT
0
Всем привет! В этой статье, я хочу показать взлом уязвимой виртуальной машины, в рамках CTF Challenge.

Итак, Hack the Sedna.

Качаем VM образ отсюда –

Открываем его в VM Ware и запускаем, в качестве атакующего хоста Kali Linux 2017.2

upload_2017-6-28_22-44-41.png


На скриншоте видно, по какому адресу находится уязвимая VM, просканируем для начала порты:

> nmap –sV –A 172.16.0.146

Результатом будет много информации:

upload_2017-6-28_22-45-3.png


Дальше было предпринято несколько попыток сканирования и брута, но ощутимых результатов они не принесли. Сразу скажу, что при сканировании с помощью nikto, он обнаруживает файл license.txt где и скрыта подсказка.

upload_2017-6-28_22-45-26.png


Вот собственно и она:

upload_2017-6-28_22-45-40.png


Если пойти в Google по этому слову, то одна из первых ссылок укажет нам на эксплоит, до этого, о существовании друг друга мы с ним не знали - BuilderEngine Arbitrary File Upload Vulnerability and execution.

Этот модуль использует уязвимость, найденную в BuilderEngine 3.5.0 через elFinder 2.0. Плагин jquery-file-upload имеет возможность загрузки вредоносного файла, что приведет к произвольному выполнению удаленного кода в контексте веб-сервера.

Запускаем Metasploit Framework:

> msfconsole

> use exploit/multi/http/builderengine_upload_exec

> show targets

> set target 0 (Выбираем таргет)

upload_2017-6-28_22-46-13.png


Смотрим опции и указываем целевой хост:

> show options

> set rhost 172.16.0.146

> exploit

Если все прошло успешно, то получаем активную сессию meterpreter:

upload_2017-6-28_22-46-41.png


В директории /var/www – находим флаг.

upload_2017-6-28_22-46-57.png


Дальнейшие поиски привели меня в директорию /etc/chkrootkit/, где любопытным оказался файл README, читаем его:

> cat README

upload_2017-6-28_22-47-15.png


Опять, топаем в Google, за информацией о chkrootkit и как его наличие в системе, может нам помочь.

Chkrootkit -
представляет собой сканер, который по тем или иным признакам поиска, отслеживает наличие руткита в локальной системе. Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:

· chkrootkit - проверка системы.

· ifpromisc - обнаружение режима захвата пакетов.

· chklastlog - обнаружение факта удаления записей из файла lastlog.

· chkwtmp - то же, из файла wtmp.

· chkproc - обнаружение следов трояна (LKM).

· strings - поиск и замена текстовых строк.

А, погуглив еще немного, можно найти информацию о модуле Metasploit - Chkrootkit - Privilege Escalation (Metasploit)

Chkrootkit до версии 0.50 будет запускать любой исполняемый файл с именем / tmp / update с правами root, что позволяет осуществить тривиальную эскалацию привилегий. WfsDelay настроен на период 24 часа, так как, по умолчанию, с такой частотой выполняется проверка chkrootkit.

Нам все подходит, версия нашего Chkrootkit, 0.49, значит должна успешно про эксплуатироваться.

Сворачиваем активную сессию и активируем Chkrootkit - Privilege Escalation:

> background

> use exploit/unix/local/chkrootkit

> show targets

> show options (
можно оставлять все по умолчанию, кроме параметра – сессия)

> set session 1


upload_2017-6-28_22-48-23.png


Затем запускаем эксплоит, немного ждем, затем:

> sessions

upload_2017-6-28_22-48-42.png


Выберем вторую сессию и осмотримся:

> session –I 2

> pwd

> ls –l

> cat flag.txt (
забираем второй флаг)

upload_2017-6-28_22-49-23.png


Теперь мы root, продолжим ковыряния VM. В папке /etc/tomcat7 в файле tomcat-users.xml

Можно обнаружить логин и пароль от Tomcat7. Tomcat — контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Tomcat позволяет запускать веб-приложения, содержит ряд программ для самоконфигурирования.

Tomcat используется в качестве самостоятельного веб-сервера, в качестве сервера контента в сочетании с веб-сервером Apache HTTP Server, а также в качестве контейнера сервлетов в серверах приложений JBoss и GlassFish.

upload_2017-6-28_22-49-41.png


Используем полученные данные для доступа к tomcat:

> 172.16.0.146:8080/manager/html (по этому адресу находится административная панель)

upload_2017-6-28_22-50-6.png


Я полагаю, это и есть 3-ий пост эксплуатационный флаг.

upload_2017-6-28_22-50-24.png


Четвертый, и последний флаг, подсказку можно увидеть в директории:

> сd /etc

> сat shadow

upload_2017-6-28_22-50-47.png


Shadow
и зачем он нужен:

Кроме имени (первое поле каждой строки) и хеша (второе поле) здесь также хранятся

· дата последнего изменения пароля,

· через сколько дней можно будет поменять пароль,

· через сколько дней пароль устареет,

· за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,

· через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,

· дата, при достижении которой учётная запись блокируется,

· зарезервированное поле.

upload_2017-6-28_22-51-23.png


Копируем хэш (это и есть последний флаг) и все остальное в отдельный файл на атакующем хосте:

upload_2017-6-28_22-51-39.png


Затем используем john с опцией –single для расшифровки хэша:

> john –single sedna.txt

upload_2017-6-28_22-51-59.png


Все флаги найдены. На этом все, спасибо за внимание.
 

Вложения

  • upload_2017-6-28_22-49-51.png
    upload_2017-6-28_22-49-51.png
    82,6 КБ · Просмотры: 236

Air7771

Green Team
22.02.2017
100
65
BIT
0
Vander! Очень понравилась тема и подача материала.Все понятно и доходчиво! Благодарю!
 
R

remez

Даже в виртуальной машине нет спасения.))) Спасибо Вандер, отличная статья.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!