• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

CTF CTF. Hack The Tommy Boy VM. Part I

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 352
BIT
0
upload_2016-10-2_14-2-20.png


Всем привет! В этой статье я хочу показать взлом виртуальной системы Tommy Boy VM, в рамках соревнований CTF. Эта VM построена по мотивам комедии Здоровяк Томми. Речь пойдет о фиктивной компании “Callahan Auto”. По отзывам это реально веселый CTF целью которого является восстановление работы сайта компании, часть проходится довольно легко, некоторые моменты действительно сложны плюс ко всему, так же, согласно отзывам, там полно маленьких хитростей. Попробуем во всем разобраться сами.

Для начала скачаем VM отсюда -

Прохождение:

Начнем со сканирования сети, чтобы найти нашу цель. Вводим:

> netdiscover –r 172.16.0.1/16 (моя сеть)

upload_2016-10-2_14-4-34.png


Целевой машиной является -> 172.16.0.129

Следующий шаг, это сканирование цели, применяем агрессивное сканирование.

> nmap –A 172.16.0.129

upload_2016-10-2_14-5-7.png


Сканирование дало нам информацию о трех открытых портах: 80 (http), 22 (ssh), 8008 (http).

Теперь будем использовать nikto чтобы добыть больше информации о нашей цели.

> nikto –h 172.16.0.129

upload_2016-10-2_14-5-57.png


Пока все просто, видим, что есть файл robots.txt содержащий в себе flag-numero-uno.txt.

Открываем его в браузере, и да, мы получаем Первый Флаг.

upload_2016-10-2_14-6-26.png


Теперь, мы знаем, что флагов всего 5, а первый это, скорее всего часть одного из пяти паролей.
Теперь пора присмотреться поближе к 80 порту, при обращении к нему открывается страница Callahan Auto, но она испытывает некие технические трудности.

upload_2016-10-2_14-7-6.png

Теперь, полагаю, пришло время использовать cURL. Как известно он подключит необходимую библиотеку и инструмент командной строки, которые позволят передавать данные серверу, используя различные протоколы. Наряду с этим, мы получим дополнительную информацию, которую будем использовать в различных целях.

> curl

upload_2016-10-2_14-7-40.png


Находим переписку, в которой говорится о папке названной в честь того места, где Том получил по голове доской и видим ссылку на YouTube. Откроем ее. Место называется Prehistoric Forest.

Попробуем обратиться к серверу по пути: 172.16.0.129/prehistoricforest.

upload_2016-10-2_14-8-21.png


Нам повезло, здесь много информации. Во-первых, теперь мы знаем, что веб-сайт был сделан в WordPress.

Во – вторых, замечаем Второй Флаг, возьмем его.

upload_2016-10-2_14-9-21.png

Запустим wpscan, чтобы рассмотреть сайт подробнее, для начала можно узнать список пользователей.

> wpscan --url --enumerate users

upload_2016-10-2_14-9-55.png


Обнаруживаем 4 пользователей, эта информация пригодится нам чуть позже.

upload_2016-10-2_14-10-16.png


А пока продолжим исследовать /prehistoricforest дальше. На одной из страниц обнаруживаем пост некоего Ричарда о том, что на сервере существует папка под именем /richard.

upload_2016-10-2_14-10-42.png


Заглянем в нее:

upload_2016-10-2_14-10-58.png


Фотографию shockedrichard.jpg сохраняем себе, затем используя сервис по определению метаданных, продолжаем поиск ценной информации.

upload_2016-10-2_14-11-20.png


Из метаданных этой фотографии мы получаем MD5-хэш.

upload_2016-10-2_14-11-41.png


Переходим на сайт , чтобы взломать его.

upload_2016-10-2_14-12-55.png


Результатом будет получение значения MD5-хэша - это слово – spanky. Продолжаем исследовать /prehistoricforest дальше, теперь необходимо найти комментарий, который попросит ввести нас пароль.

upload_2016-10-2_14-13-24.png


Введем пароль – spanky.

upload_2016-10-2_14-13-40.png


Это откроет страницу с намеками. Прочитав все это, необходимо запомнить несколько моментов :

· Что-то про аккаунт и nickburns

· Существует открытый порт FTP.


upload_2016-10-2_14-14-12.png


При первоначальных сканированиях мы не видели открытого порта с FTP. Запускаем nmap с параметром сканирования всего диапазона портов:

> nmap –p 1-65535 192.168.0.XXX

upload_2016-10-2_14-14-36.png


Обнаружился открытый порт 65534/tcp, он и является замаскированным портом FTP сервиса. Но так бывает не всегда, это одна из хитростей которую я обнаружил, порт открыт не постоянно. По алгоритму, он закрывается и открывается через какой-то промежуток времени. Чтобы сэкономить нервы, предлагаю написать скрипт, который будет опрашивать порт и сообщать нам, когда он станет доступен.

Создадим файл с расширением sh, я создал medusa.sh. Затем откроем его через Vim или любой редактор по вашему вкусу. Внутри пишем следующее:

upload_2016-10-2_14-15-8.png


Запустим скрипт и подождем…

> ./medusa.sh

upload_2016-10-2_14-15-28.png


Порт открылся, теперь попробуем зайти на него. Для этого нам нужен логин и пароль, в качестве логина логично использовать nickburns, а пароль необходимо добыть. В качестве такого добытчика я решил попробовать medusa. Используем ее с такими аргументами:

> medusa –h 192.168.0.XXX –u nickburns –P /usr/share/wordlists/rockyou.txt –M ftp –n 65534 –e s

Где:

> –h – сканируемый хост

> –u nickburns – логин пользователя

> –P – файл с паролями

> –M – выполнить модуль, в нашем случае ftp

> -n - использовать номер TCP порта, отличный от используемого службой по умолчанию.

> -e s - дополнительные проверки пароля, где s – проверка в качестве пароля имени пользователя.

upload_2016-10-2_14-16-28.png


За считанные секунды пароль был подобран, им оказалось имя пользователя. Теперь зайдем на FTP, любым клиентом или из под терминала Kali.

upload_2016-10-2_14-16-51.png


Копируем себе файл readme, открываем его. Из прочитанного, становится ясно, что где-то на сервере есть зашифрованная папка под названием "NickIzL33t".

«Anyway I'm not completely without mercy. There's a subfolder called "NickIzL33t" on this server somewhere. I used it as my personal dropbox on the company's dime for years. Heh. LOL.»

Я попробовал зайти на сервер по второму открытому веб-порту 8008:

upload_2016-10-2_14-17-25.png


Надпись гласит, что только он и Стив Джобс в силах просматривать содержимое данной папки. Тут уж явный намек на Iphone)) Но об этом уже в следующей части…
 
Последнее редактирование:
I

Inject0r

Очень нравятся такие статьи, спасибо, вечером буду пробовать :)
 
  • Нравится
Реакции: Vander

Chena

Green Team
10.02.2017
12
4
BIT
0
Вот по таким статьям можно научиться . Отлично Vander !
 

Вложения

  • shockedrichard.jpg
    shockedrichard.jpg
    78,3 КБ · Просмотры: 661
  • Нравится
Реакции: Vander
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!