• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

CTF CTF. Взлом NullByte VM.

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 352
BIT
0
Всем привет! В этой статье я опишу взлом уязвимой машины в рамках соревнований CTF.

Называется она NullByte VM (CTF Challenge) Для начала скачаем образ виртуальной машины отсюда => . Затем импортируем его, например, в VMware.

upload_2016-11-28_17-34-29.png


В качестве атакуемой машины, мной будет использоваться Kali Linux 2016.1 Rolling.

Начнем как обычно со сканирования своей сети, дабы обнаружить NullByte.

> arp-scan 192.168.0.1/16

upload_2016-11-28_17-35-2.png


В моем случае целевой хост имеет адрес 192.168.0.109.

Так же по традиции, запустим nmap в режиме агрессивного сканирования.

> nmap –A 192.168.0.109


upload_2016-11-28_17-35-35.png


Видим информацию о трех открытых портах, если с 777 и 80 все предельно ясно, а вот назначение 111 мне пока не ясно, возможно вернемся к нему позже.

Пока попробуем посмотреть, что же находится на 80 порту, зайдем на сервер по адресу 192.169.0.109:80.

upload_2016-11-28_17-36-10.png


Замечательная картинка и все… Пока ничего не ясно. Есть вариант посмотреть метаданные, так как они точно есть, это видно в исходном коде элемента. Перепробовав несколько онлайн сервисов, результата я не получил, виной тому формат .gif. Изрядно погуглив, я вышел на утилитку exiftool, которую можно установить в Kali Linux.

> apt-get install exiftool

upload_2016-11-28_17-36-28.png


Теперь можем просмотреть метаданные.

> exiftool main.gif


upload_2016-11-28_17-37-59.png


Строка Comment содержит явную подказку, сразу скажу – это директория, до этого я много пытался с ней сделать. Зайдем на сервер по адресу:

> 192.168.0.109/kzMb5nVYjw

upload_2016-11-28_17-38-27.png


Ключа у нас нет, но есть Hydra, ей и воспользуемся. Будем брутить эту форму входа. Для этого в терминале вводим следующую команду:

> hydra 192.168.56.109 http-form-post "/kzMb5nVYJw/index.php:key=^PASS^:invalid key" -l x -P /usr/share/dict/words -t 10 -w 30

upload_2016-11-28_17-38-52.png


Дожидаемся окончания работы Гидры и получаем искомый пароль – elite. Используем его для входа на страницу.

upload_2016-11-28_17-39-11.png


Теперь у нас спрашивают имя пользователя, так как никакой информацией мы не располагаем, попробуем подключить к работе sqlmap.

> sqlmap –u –dbs

upload_2016-11-28_17-59-40.png


Выполнение этого действия дало нам информацию о 5 найденных базах.

upload_2016-11-28_18-0-24.png


Нас же интересует – seth. Попробуем выжать больше информации следующей командой:

> sqlmap –u –dump –columns –tables –D seth

upload_2016-11-28_18-0-49.png


Теперь у нас есть имя пользователя и хэш пароля.

upload_2016-11-28_18-1-13.png


Хэш отнесем на любой понравившийся вам онлайн расшифровщик. Но перед этим приведем его в вид base64.

> echo "YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE=" | base64 –d

upload_2016-11-28_18-5-10.png


Теперь у нас на руках есть учетные данные одного пользователя.

upload_2016-11-28_18-5-30.png


Пароль – omega, логин – ramses. Попробуем эту связку при попытке доступа по SSH.

> ssh ramses@192.168.0.109 –p 777

В результате получаем открытую сессию SSH.

upload_2016-11-28_18-6-0.png


По итогам осмотра содержимого, интересным показался файл procwatch, находящийся в каталоге /var/www/backup. Запустив его, мы видим, что он вызывает список процессов.

upload_2016-11-28_18-6-19.png


Если нам удастся изменить путь файла для ps на sh, то мы сможем добраться до корневого каталога. Для выполнения этой задачи вводим следующие команды:

> cd /tmp

> cp /bin/sh /tmp/ps

> export PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games

> cd /var/www/backup

> ./procwatch

> whoami

upload_2016-11-28_18-6-56.png


Цель достигнута, мы root, далее выполняем:

> cd /root

> ls –a

> cat proof.txt

upload_2016-11-28_18-7-24.png


На этом прохождение Null Byte можно считать законченным. Спасибо за внимание.
 

DOOmsdAi

Green Team
24.12.2017
36
40
BIT
0
можно было просто воспользоваться ImageMagic который предустановлен в кали и parrot, нежели скачивать exiftool. и кстати можно ли пробрутить ? если да то чем?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!