1. Спонсор публикаций Marketplace codeby. Сервис, который так долго ждали. При расчетах используем биткоин. Первый товар уже в продаже: Консультация на тему ИБ от Ondrik8

    Скрыть объявление
  2. Спонсор публикаций Marketplace codeby. Сервис, который так долго ждали. При расчетах используем биткоин. Второй товар маркетплейса: Надёжная обфускация вашей программы от PingVinich

    Скрыть объявление

Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем ~~DarkNode~~, 15 июл 2017.

  1. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    19 окт 2016
    Сообщения:
    440
    Симпатии:
    1.461
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Приветствую Вас дорогие друзья) Ну вот настало время очередной лаборатории тестирования на проникновения , в которой вы снова сможете попрактиковаться в пентесте. И я как и в прошлых своих статьях попытаюсь вам в этом помочь и разобраться с неясностями)
    Ну что же, давайте приступать:

    И так TestLab v11 "Who Is Mr.Hacker" (Кто такой Мистер Хакер) представляет большую ,по сравнению с предыдущими лабораториями, корпоративную сеть в которой есть уязвимые места входа во внутреннюю сеть и также на каждой машине есть предусмотренная та или иная уязвимость ,которая позволит нам получит доступ к конфиденциальной информации ,которую разработчики представили нам в виде секретных токенов))
    Для тех кто решил попробовать себя в пентесте впервые , прочтите эту статью , в которой расписано как подключаться к лаборатории тестирования на проникновение.

    Сперва давайте посмотрим на карту сети:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Как видим по карте , корпоративная сеть поделена на несколько сегментов, и так же у нас есть доступные из внешней сети хосты , так называемые энтрипоинтс (точки входа) с IP-адресами 192.168.101.10 и 192.168.101.11
    Их мы и просканируем на открытые сервисы утилитой nmap
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Видим что на первом хосте (192.168.101.10) размещены целых 4 сервиса , а на втором только SSH сервис на 2222 порту.
    Замечаем почтовый SMTP сервер на 25 порту и веб интерфейс(roun от него на 8080 порту:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Соответственно смотрим остальные сервисы:
    Видим какой то сайт внешне похож на блог:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    И на 88 порту видим vtiger CRM версии 6.3.0 . Надпись на фронтенде сразу же проситься поискать эксплоит на эту версию

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)


    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Но этот эксплоийт требует быть залогиненым в системе CRM. По этому нам придется таки туда пробиться)

    Так же в мета тегах видим версию WordPress CMS на основном сайте:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1) Попробуем найти валидного юзера, сперва давайте посмотрим на пост, на WordPress-е,видим что пост создан юзером LabAdmin : Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Пробуем этого юзера в админке WP(WordPress)
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Входе иследования вордпресс был обнаружен уязвимый плагин,но о нем мы поговорим немножко поже, так как
    после многочисленных попыток пробить WAF , мы узнали что это трата времени и мы пошли дальше.
    Давайте теперь попробуем узнать имя домена через прямой коннект к SMTP серверу:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    К сожалению перечисление учетных записей сделать не сможем, так как функции VRFY и EXPN отключены.
    Видим домен mail.ptest.lab
    Пробуем ресетнуть пароль по этой почте:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Увы пишет что пользователей с таким именем не зарегистрирован.
    Затем методом проб и ошибок мы обнаруживает что почта admin@test.lab подходит для сброса пароля:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Эта же почта так же подходит и для сброса пароля в CRM :
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    наверняка понимая что доступ к админке нам просто необходим , поставим на брут все таки ...
    Можно конечно брутить и в BurpSuite и в Hydra и т.д
    Но я все же хочу показать как составляется команда для Patator.
    Сперва давайте поглядим на запрос в Бурпе
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Как видим после попытки логина идет редирект(переадресация) на
    index.php?module=Users&parente=Setting&view=Login&error=1
    И после переадресации мы можем видеть ошибку о неправильной попытке логина:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Теперь давайте посмотрим справку по http_fuzz в patator:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Тут нас интересует метод POST с последующей переадресацией. Так же мы можем настроить Patator ддя фильтрации текста ошибки не верного логина. В целом команда для брута выглядит так:

    Теперь давайте разберем по порядку:
    url -- путь к скрипту авторизации (взяли из BurpSuite)
    method=POST -- (способ отправки данных на сервер через POST запрос)
    body='POST DATA' -- данные которые мы передаем в POST запросе , место для брута мы помечаем FILE0 , затем указываем нужный словарь "0=pass.txt"
    follow=1 -- разрешить переадресацию (301,302)
    -x ignore:fgrep='Invalid username or password.' -- указать текстовую строку для парсинга в ответах на заросы, что бы проигнорировать ее.

    На деле выглядит так:

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Дальше логинимся в админку, и замечаем странность в имени админа:

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Пробуем проэксплуатировать эксплоит с exploit.db , но увы обычный аплоад файлов через index.php не работает. Значит мы идем в настройки компании и пробуем залить шелл через лого компании:

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Но от нас хотят картинку размером 170x60 пикселей, делаем ресайз:
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Заливаем в картинку шелл:

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Дальше в BurpSuite перехватываем запрос и изменяем разширения из .jpg на .php


    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Дальше отсылаем запрос на сервер, и идем по пути к нашему файлу(http://192.168.101.10:88/test/logo/anon.php):
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Дальше просто поднимаемся в корень сайта и забираем токен:

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Ну вот и все) Первый токен взят)))
    Продолжим наш пентест в следующей статье)
    Видео к статье:

     

    Вложения:

    • Лаборатория тестирования на проникновения
      18.PNG
      Размер файла:
      89,9 КБ
      Просмотров:
      11
    • Лаборатория тестирования на проникновения
      6.PNG
      Размер файла:
      343,8 КБ
      Просмотров:
      13
    • Лаборатория тестирования на проникновения
      12.PNG
      Размер файла:
      19,6 КБ
      Просмотров:
      11
    • Лаборатория тестирования на проникновения
      12.PNG
      Размер файла:
      19,6 КБ
      Просмотров:
      11
    TrevorReznik, Brib, Xulinam и 10 другим нравится это.
  2. a113

    a113 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    10 дек 2016
    Сообщения:
    206
    Симпатии:
    142
    У меня был челлендж взять самостоятельно хотя бы 1 токен... я его не взял, НО я был на столько близок!!! я делал все так, как написано в этой статье, НО вместо пататора юзал гидру и в качестве словаря - rockyou... потратив 2 дня на брут, я забил , сказав себе "ты, видимо, еще нубас в этом деле, иди учи матчасть".
    Спасибо за статью! С нетерпением жду продолжения!
    P.S: Какое место занял? :)
     
    ~~DarkNode~~ нравится это.
  3. nemainthium

    nemainthium Member
    Grey Team

    Репутация:
    0
    Регистрация:
    19 янв 2016
    Сообщения:
    11
    Симпатии:
    7
  4. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    19 окт 2016
    Сообщения:
    440
    Симпатии:
    1.461
    4-е место.
    --- Добавлено 15 июл 2017. Первое сообщение размещено 15 июл 2017 ---
    Да,Столетий всегда делает врайтап,но здесь можно всегда обсудить тот или иной таск или уязвимость.Именно по этому я пишу поэтапный свой врайтап.
     
    Vertigo и Xulinam нравится это.
  5. LiJagger

    LiJagger Member

    Репутация:
    0
    Регистрация:
    20 янв 2017
    Сообщения:
    6
    Симпатии:
    3
    Отлично) Большое спасибо, за очередной подробный врайтап. Ты как всегда на пульсе непоняток. Очень много вопросов было по поводу Potator'а.
     
    ~~DarkNode~~ нравится это.
  6. a113

    a113 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    10 дек 2016
    Сообщения:
    206
    Симпатии:
    142
    Не плохо, поздравляю!
     
  7. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    19 окт 2016
    Сообщения:
    440
    Симпатии:
    1.461
    Хотелось бы лучше) спасибо)
     
    a113 нравится это.
  8. SooLFaa

    SooLFaa Инквизитор
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    15 июл 2016
    Сообщения:
    370
    Симпатии:
    587
    Молодец. Важно заметить, что шелл должен быть не <?php а строго <? и есть возможность залить чистый php без картинки. Я делал так: Создал два файла с одинакомвы содержимым php (Для того чтобы совпадала Content-Length), но с разными расширениями. Первый jpg второй php. На самом для того, чтобы обмануть клиентский валидатор, который мне лень было отключать. Ловим бурпом jpg меняем расширение на php и бинго.
     
    ~~DarkNode~~ нравится это.
  9. WebWare Team

    WebWare Team Администратор
    Команда форума

    Репутация:
    0
    Регистрация:
    30 дек 2015
    Сообщения:
    583
    Симпатии:
    488
    Присоединяюсь к поздравлениям !
     
    ~~DarkNode~~ нравится это.
  10. IioS

    IioS Member

    Репутация:
    0
    Регистрация:
    9 июн 2017
    Сообщения:
    12
    Симпатии:
    5
    Кто может подсказать почему не приходит письмо активации? уже 3 мыла зарегала, и не на одно не пришло письмо... беда-печаль(
     
  11. a113

    a113 Well-Known Member
    Grey Team

    Репутация:
    0
    Регистрация:
    10 дек 2016
    Сообщения:
    206
    Симпатии:
    142
    Та же фигня была. Потом пришло. Еще иногда отказывается входить при валидных мыло/пароль. :(
     
    IioS нравится это.
  12. IioS

    IioS Member

    Репутация:
    0
    Регистрация:
    9 июн 2017
    Сообщения:
    12
    Симпатии:
    5
    Тогда остаеться сидеть и ждать, спасибо за ответ.
     
    a113 нравится это.
  13. VikTor1990

    VikTor1990 Active Member

    Репутация:
    0
    Регистрация:
    25 фев 2017
    Сообщения:
    42
    Симпатии:
    5
    Примитивный вопрос новичка: "с помощью чего генерировался шелл?"
    Просто не совсем понятно, и где можно доходчиво почитать про burp suite т.к. у меня вкладка "Repeater" осталась пустой после любых манипуляций с прокси
     
  14. ~~DarkNode~~

    ~~DarkNode~~ ~^_Wired FaLc❍n_^~
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    19 окт 2016
    Сообщения:
    440
    Симпатии:
    1.461
    https://github.com/tennc/webshell/blob/master/php/wso/WSO_base64.php


    Заменить все теги <?php на <?


    Что бы в репитер добавить запрос нужно на перехваченом запросе жмакнуть ПКМ и выбрать там "send to repeater"
    Я просто юзаю хоткей ctrl+shift+r
     
  15. VikTor1990

    VikTor1990 Active Member

    Репутация:
    0
    Регистрация:
    25 фев 2017
    Сообщения:
    42
    Симпатии:
    5
    Благодарю за подробный ответ
     
  16. nemainthium

    nemainthium Member
    Grey Team

    Репутация:
    0
    Регистрация:
    19 янв 2016
    Сообщения:
    11
    Симпатии:
    7
    А как вы определили путь до залитого шела? /test/logo/
    --- Добавлено 23 июл 2017 в 06:34. Первое сообщение размещено 22 июл 2017 в 22:22 ---
    В хабровском врайтапе брутфорс паса осуществлялся через бурп. Если кто так делал, поделитесь настройками интрудера или где можно почитать про это.
     
  17. Citizen0

    Citizen0 Member
    Paid Access

    Репутация:
    0
    Регистрация:
    7 фев 2017
    Сообщения:
    24
    Симпатии:
    18
    ПКМ по картинке и "Открыть картинку в новой вкладке".
    Также, если ознакомиться с эксплойтом, то можно прочитать следующее
    Даже в видео ТС акцентировал на этом внимание.

    На сайте разработчика Burp Suite есть справка по всем инструментам.
    - Настраиваете Burp Suite
    - Идете на страницу с CRM
    - Вводите логин admin и любой пароль. Нажимаете на "Sign in"
    - В Burp Suite ловите запрос
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    - ПКМ по полю
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    и выбираете "Send to Intruder"
    - Кликаете на вкладку "Intruder"
    - Вкладка "Target"
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    - Вкладка "Positions"
    Тут мы оставим только пароль для перебора. Остальные параметры отредактируем
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    Результат
    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)
    - На вкладка "Payloads" выбираете "Payload type" Simple list или Runtime file.
    Допустим, выбрали Simple list. В секции Payload Options [Simple list] нажимаете на Load... и выбираете SecLists файл на 100000 паролей.

    Остальное подстраиваете под себя.

    Нажимаете на Start atack и ждете. Во вкладке Results можно выбрать сортировку по Length по убыванию.
     
    Vertigo, WebWare Team и nemainthium нравится это.
  18. nemainthium

    nemainthium Member
    Grey Team

    Репутация:
    0
    Регистрация:
    19 янв 2016
    Сообщения:
    11
    Симпатии:
    7
    Спасибо, помогло. С нетерпением жду мануала по взятию второго токена. Застрял на "проброске порта" вот тут:

    Лаборатория тестирования на проникновения "TestLab v.11" WhoIs Mr.Hacker (1)

    Как это сделать, не допираю. Может кто расжует. Спасибо.
     
  19. Dmitry88

    Dmitry88 Well-Known Member

    Репутация:
    0
    Регистрация:
    29 дек 2016
    Сообщения:
    55
    Симпатии:
    59
    Спасибо за подробный райт-ап. Как всегда, приятно читать. Промучился с бурпом, помогла установка свежей версии.
    --- Добавлено 25 июл 2017 в 11:05. Первое сообщение размещено 25 июл 2017 в 10:14 ---
    Чтобы обеспечить удобный доступ к внутренней сети через вновь появившееся SSH подключение есть множество способов.

    В первую очередь рекомендую статью «Pivoting или проброс портов» по

    адресу https://habrahabr.ru/post/302168/

    Кроме того, полезно знать интересную возможность стандартного SSH клиента — проброс портов без перезапуска сессии и добавления параметров в командную строку.

    Для этого достаточно нажать комбинацию Shift+~+C и перейти в

    командный режим работы:

    ssh> -L 8086:192.168.0.6:80
    Forwarding port.
    осле ввода нужной команды мы получим доступ к 80-му порту

    сервера 192.168.0.6 (photo) через порт 8086 на 127.0.0.1:

    Проброс для RDP:

    ssh> -L ourfreeport:targetip:targetport (-L 44444:192.168.1.2:3389)
    После этого порт 192.168.1.2:3389 будет доступен по адресу 127.0.0.1:44444
     
  20. SooLFaa

    SooLFaa Инквизитор
    Команда форума Grey Team

    Репутация:
    1
    Регистрация:
    15 июл 2016
    Сообщения:
    370
    Симпатии:
    587
    Код (Text):
    ssh -L 192.168.1.237:3390:192.168.12.2:3389 morgan@172.16.0.252 -p 22 -i /key
    Первый ипишник локальный и порт на который прокидываемся, второй ипишник и порт который прокидываем.
    --- Добавлено 25 июл 2017 в 19:19. Первое сообщение размещено 25 июл 2017 в 19:19 ---
    А еще можно траффик завернуть в sshuttle
    Код (Text):
    sshuttle -e "ssh -i /key" -r morgan@172.16.0.252 192.168.10.0/24 192.168.11.0/24 192.168.12.0/24
    --- Добавлено 25 июл 2017 в 19:20 ---
    Я вам потом напишу в другой лабе. Лабы пентестит трогать не буду по моральным соображениям т.к. эта тема Богдана.
     
    Vertigo и a113 нравится это.
Загрузка...
Похожие Темы - Лаборатория тестирования на
  1. ~~DarkNode~~
    Ответов:
    8
    Просмотров:
    1.917
  2. ~~DarkNode~~
    Ответов:
    2
    Просмотров:
    1.577
  3. ~~DarkNode~~
    Ответов:
    28
    Просмотров:
    4.541
  4. ~~DarkNode~~
    Ответов:
    26
    Просмотров:
    3.085
  5. ~~DarkNode~~
    Ответов:
    15
    Просмотров:
    2.138

Поделиться этой страницей