1. Набираем команду codeby webinar. Набираем команду для организации и проведения вебинаров. Подробнее ...

    Скрыть объявление
  2. Требуются разработчики и тестеры для проекта codebyOS. Требования для участия в проекте: Знание принципов работы ОС на базе Linux; Знание Bash; Крайне желательное знание CPP, Python, Lua; Навыки системного администрирования. Подробнее ...

    Скрыть объявление
  3. Получи 30.000 рублей. Для получения денег необходимо принять участие в конкурсе авторов codeby. С условиями и призами можно ознакомиться на этой странице ...

    Внимание! Регистрация авторов на конкурс закрыта.

    Скрыть объявление

Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ~~DarkNode~~, 13 дек 2016.

  1. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
    Глава 3
    Предыдущая глава
    Следующая глава
    Оглавление

    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    Приветствую вас колеги)
    Сегодня продолжим наше завлекательно путешествие в корпоративной сети тестовой лаборатории и возьмем очередной токен от SSH машины.
    Напомню вам что в предыдущих статьях я описывал атаки с внешнего периметра.

    https://codeby.net/forum/threads/la...10-za-granju-xakerskix-vozmozhnostej-1.58573/
    https://codeby.net/forum/threads/la...10-za-granju-xakerskix-vozmozhnostej-2.58591/

    Сегодня мы уже с вами будем работать внутри корпоративной сети.
    И так получил логин и пароль через SQL инъекцию,мы воспользовавшись логикой и предположили что человек может использовать одинаковые пароли(что весьма актуально в наше время,очень небольшой процент населения использует рандомные или разные пароли к разным ресурсам)
    Подключились под этим логином и паролем к ссш машине немножко давайте погуляем по ней,посмотрим что к чему. Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    В кронтабе (/etc/crontab) увы ничего ценного нету..
    А вот папка /data вызывает интерес,так по умолчанию такой паки в корне нету...
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    Так же может нам быть интересна папка /home
    В которой содержатся домашние каталоги пользователей.
    Также всех возможных пользователей можно посмотреть в /etc/passwd
    С помощью команды:
    Код:
    cat /etc/passwd | grep bash | cut -d ':' -f 1
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    Немного покопаясь в этих папках мы замечаем что у двух пользователей есть папки .ssh ,где наверняка могут лежать ssh ключи.Но доступ к ним увы ограничен.Эти пользователи a.modlin и rross.
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3) Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    Брут по ssh протоколу этих учеток увы не дал положительных результатов.
    Повышение привилегий так же не получилось - машина пропатчина.
    Перебор пароля от рута также безрезультатно.
    Вспоминаем интересную нам папку /data
    И идем туда...
    Видим там папку users, зайти мы туда можем,но вывести содержимое увы нет... Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    Но опять же таки,давайте подумаем посидим что это за папка такая с пользователями?
    Возможно стоит предположить что те самые пользователи,которые есть на машине могут быть в этой папке? А почему бы и нет,какие еще юзеры как не эти...Проверил свою интуицию видим что мы были правы:
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    Мы можем заходить в папки,но ничего не можем вывести... Как слепые котята...Хм...
    Но если мы можем ходить по папкам внутри этой папки,но не знаем какие там есть папки на ум приходит брут директорий. В качестве словаря отлично подойдет common.txt из дирба(dirb - утилита для перебора папок и файлов на веб-сайтах ).
    Но готовых программ под нашу ситуацию я пока не встречал,да и не особо нужно так как для этого мне пригодились мои базовые знание программирования на Python.
    Набросал пару строчек кода,я написал простенький скриптец,который перебирает в цикле пути к файлам или папкам,и если путь существует то выведет его на экран.
    Выглядит мой скрипт так:


    path -- известная нам часть пути(/data/users/)
    users -- массив возможных пользователей
    common.txt -- наш словарик для брута директорий
    скрипт просто в цикле добавляет к известному нам пути /data/users/ имя пользователя из массива и потом добавляет построчно слово из словаря. Затем выполняется проверка пути,в случаи если путь существует выводить полный путь.

    Передать словарь на ссш машину можно с помощью команды scp :
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    Дальше запускаем наш скриптик и видем результат:
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    Потыкая по папкам ,со временем замечаем что в одной папке пользователя rross-а есть возможность выполнить команду ls -la (просмотр содержание директории)
    Там же находим наш токен от SSH-машины.

    Ну вот,токен взят) Я вас поздравляю)))
    Но на этом мы не останавливаемся.Нужно двигаться дальше.
    А как же нам атаковать остальные машины??? Помните я в первой части говорил что ssh машина представляет особый интерес ,так ее можно использовать как тунель во внутреннюю сеть.
    Конечно же можно использовать proxychains для атаки на хосты внутри сети,но лично мое мнение - это не совсем удобно,и мне гораздо удобнее использовать локальный проброс портов.
    Прежде чем я начну - я всем настоятельно рекомендую посмотреть видео одного и разработчиков тестовой лаборатории Александра Дмитренка (aka Sinister) о возможностях и тунелях SSH

    После просмотра все станет ясным)
    И так следующей комбинацией клавиш вызовем меню тунелей ssh:
    SHIFT+~+C
    Знакомимся со справкой: Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    Напоминаю что наша SSH машина имеет IP адрес 172.16.0.8 в топологии сети: Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3) Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    Давайте просканируем какуе нибудь машину на открытые порты:
    К счастью на нашей машине есть установленный nmap и мы спокойно ним можем сканировать порты и полностью его использовать,но бывают ситуации когда нам нужно просканировать порты ,а nmap-а нету.Тогда в таких ситуациях можно легко обойтись NetCat-ом,и так же легко просканировать ним на открытые порты.
    И так давайте просканим что то,например Hall-Of-Fame(зал славы):
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3) Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    Как видите результаты сканирования одинаковые как у нмапа так и у нетката)
    Теперь все же вернемся к пробросам,давайте пробросим 80 порт от зала славы к себе на локалхост:
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
    формат проброса следующий:
    -L Наш_Локальный_Порт:Айпи_Адрес_Удаленной_Машины:Порт_Удаленной_Машины
    Дальше идем к себе на http://127.0.0.1:8080 и проверяем: Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)

    На этом пока все) Приятной работы)



    Предыдущая глава
    Следующая глава
    Оглавление
     
    #1 ~~DarkNode~~, 13 дек 2016
    Последнее редактирование: 13 дек 2016
    _Eliot_, Ivan175, ShurikEEN и 20 другим нравится это.
  2. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    а NC установлен на всех дистрибутивах Linux?
     
    Step нравится это.
  3. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
    не могу пока точно ответить. Но пока на тех которые я тестировал было всегда.
     
  4. MAdDog719

    MAdDog719 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    16 авг 2016
    Сообщения:
    108
    Симпатии:
    26
    Ясно. Ждем тогда продолжения лабы))
     
    ~~DarkNode~~ нравится это.
  5. 3nv00ch

    3nv00ch New Member

    Репутация:
    0
    Регистрация:
    7 ноя 2016
    Сообщения:
    3
    Симпатии:
    3
    Очень хочется продолжения :)
     
    p0ttym4n и ~~DarkNode~~ нравится это.
  6. faust

    faust Member

    Репутация:
    0
    Регистрация:
    11 дек 2016
    Сообщения:
    5
    Симпатии:
    1
    А как с помощью утилиты поиска find определить папку куда мой пользователь может записать файл.(Или другим скриптом):)
     
    ~~DarkNode~~ нравится это.
  7. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
    самый простой способ:
    Код:
    find / -type d -maxdepth 2 -writable
    -type d -- указать искать директории
    -maxdepth 2 -- глубина поиска,для рекурсивного поиска
    -writeable -- искать папки которые имеют права на запись
    или так еще как вариант:
    Код:
    find / -type d -perm -o+w  -exec ls -adl {} \;
    Ну в любом случае всегда для записи доступны две папки:
    /tmp/
    /var/tmp/
     
    freedom_fighter, KeepToMe, mafiasepa и 2 другим нравится это.
  8. faust

    faust Member

    Репутация:
    0
    Регистрация:
    11 дек 2016
    Сообщения:
    5
    Симпатии:
    1
    Спасибо. :)
     
  9. p0ttym4n

    p0ttym4n Member

    Репутация:
    0
    Регистрация:
    11 дек 2016
    Сообщения:
    8
    Симпатии:
    11
    Хм, как-то проглядел возможности утилиты NetCat
    Надо приглядеться к ней
    Спасибо!
     
  10. suckmydick

    suckmydick Member

    Репутация:
    0
    Регистрация:
    15 сен 2016
    Сообщения:
    5
    Симпатии:
    4
    e.lindsey@tl10-ssh:~$ ssh> -L 8080:192.168.0.8:80
    -bash: -L: Permission denied
    что делаю не так, не подскажите?
     
    pentest2377 нравится это.
  11. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
    1)Попробуйте запустить ssh сессию от рута или через sudo (Отпишите в случае решение или не решение проблемы)

    2)Еще возможно порт 8080 уже используется каким то другим процессом. ( В таком случае пришлите вывод команды "от рута" netstat -natlp)
     
  12. suckmydick

    suckmydick Member

    Репутация:
    0
    Регистрация:
    15 сен 2016
    Сообщения:
    5
    Симпатии:
    4
    1) не решился
    2) вот скрин
    Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (3)
     
  13. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
    хм...Странно... А пробовали любой другой локальный порт?
     
  14. suckmydick

    suckmydick Member

    Репутация:
    0
    Регистрация:
    15 сен 2016
    Сообщения:
    5
    Симпатии:
    4
    решиль проблемку, про нажатие клавишь SHIFT+~+C пропустиль оказывается

    после переброса как найти токен?
     
    #14 suckmydick, 28 дек 2016
    Последнее редактирование модератором: 28 дек 2016
    ~~DarkNode~~ нравится это.
  15. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
    какой? От ssh ? Я же писал об этом)
     
  16. suckmydick

    suckmydick Member

    Репутация:
    0
    Регистрация:
    15 сен 2016
    Сообщения:
    5
    Симпатии:
    4
    ну да, после переброса на сайте есть токен?
     
  17. SooLFaa

    SooLFaa Инквизитор
    ELEET

    Репутация:
    6
    Регистрация:
    15 июл 2016
    Сообщения:
    464
    Симпатии:
    737
    Бл*****ть, зачем я прочитал эту тему?! Зарекся же в твои топики с лабой не заходить. Уже 2 хинта знаю.
     
  18. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    ELEET

    Репутация:
    16
    Регистрация:
    19 окт 2016
    Сообщения:
    640
    Симпатии:
    2.099
  19. mafiasepa

    mafiasepa Member

    Репутация:
    0
    Регистрация:
    30 ноя 2016
    Сообщения:
    11
    Симпатии:
    2
    А как или с помощью чего подключитья к SHH машине?
     
  20. SooLFaa

    SooLFaa Инквизитор
    ELEET

    Репутация:
    6
    Регистрация:
    15 июл 2016
    Сообщения:
    464
    Симпатии:
    737
    putty, ssh в linux (apt-get install ssh), даже для хрома есть расширение. Короче любой SSH Client.
     
Загрузка...
Похожие Темы - Лаборатория тестирования на
  1. ~~DarkNode~~
    Ответов:
    43
    Просмотров:
    4.778
  2. ~~DarkNode~~
    Ответов:
    8
    Просмотров:
    2.269
  3. ~~DarkNode~~
    Ответов:
    2
    Просмотров:
    1.779
  4. ~~DarkNode~~
    Ответов:
    27
    Просмотров:
    5.404
  5. ~~DarkNode~~
    Ответов:
    27
    Просмотров:
    3.721

Поделиться этой страницей