Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (1)

Глава 1​

Следующая глава
Оглавление

И так приветствую вас колеги ).
Сегодня мы с вами погрузимся в роль хакера-пентестера и на примере лаборатории тестирования на проникновения от PentestIT
будем,так сказать, тестировать себя "На грани хакерских возможностей" )) Именно такое имя разработчики дали очередной 10-й тест-лабе.
В этой лаборатории мы встретимся один на один со следующими векторами уязвимостей

Писать я буду стараться как можно доступней к пониманию,так как новичков не могу я проигнорировать) Но и не буду расписовать громадные разьяснение
терминов с википедии,к примеру что такое уязвимость,эксплойты,сканирования сети,сбор и анализ информации,брутфорс и т.д. Все таки я расчитываю что вы это знаете или самостоятельно
сможете прочитать об этих и других терминах в википедии.
И так прежде чем мы начнем ,я бы кратенько хотел обьяснить этап регистрации и навигацию по сайту тест-лабы,потому что у многих на этом этапе уже возникают не большие трудности,
что в последствии отпугивает людей проходить лабораторию.

1) Идем по адресу lab.pentestit.ru/signup
2)Заполняем форму регистрации,и потом подтверждаем регистрацию на почте которую указывали в форме.

3)Далее идем в "HOW TO CONNECT" (Как подключится)

Далее мы видим две вкладки (Linux) и (Windows)
Во вкладке (Linux) нам предлагают скачать готовый образ для VirtualBox со всеми нужными настройками,или же воспользоватся конфигурационным файлом для openvpn,и немножко ниже наш логин и пароль для подключения к VPN.
Во кладке (Windows) - это для тех кто использует виндоус машину для подключения к лабораториями,там лежит конфигурационный файл для OpenVPN клиента.
Я же буду использовать конфиг для Linux.

Далее подготовим место для наших конфигов,паролей и всех файлов,которые могут быть связанные с тест-лабой.
Положим наш логин и пароль от VPN в файл pass.txt

Далее же настроим и сам конфигурационный файл (назовем его как нибудь lab.conf)
просто копипастим туда содержимое конфига которое нам дали на сайте:

Потом добавим туда путь к нашем кредам(файла с логином и паролем):

Для удобства теперь я просто возьму положу одну строчку кода в скрипт на bash-е что бы было удобно запускать VPN соединение в фоне.

Ну еще для более удобного запуска VPN я создам пожалуй символьную ссылку,что бы можно было запускать старт VPN из любой папки)
И как бы мы готовы к подключению к лаборатории)) Что ж давайте проверим какие файлы у нас получились и работает ли VPN соединение)

После запуска нашего скрипта у нас должен появится интерфейс tun0 :

С настройками кажись все гуд у нас)
Давайте знакомится с навигацией сайта лабы,картой сети и т.д. P/S: Это нам очень пригодится)
Первым делом на главной странице lab.pentestit.ru можно увидеть карту кибератак,кто из каких городов стран мира проявляет подозрительную активность так сказать))) И если мы также проявим активность в виде брутфорса - так же сможем лицезреть себя на этой карте:

Спускаемся немножко ниже и переходим в нашу TestLab v10:

Здесь в верхней части страницы мы можем наблюдать ко-тво зарегистрированных пользователей ,к-тво онлайн и текущий прогресс прохождения.
Немножко ниже мы можем видеть IP адрес шлюза для атаки с внешнего периметра,ссылку на карту сети ( так как пентест этой сети будет проходить по принципу серого ящика "GreyBox ") И ссылки на обратную связь и группы в телеграмме.

Жмакаем на ссылке карты сети(Network diagram link) И изучаем структуру сети:

Как видите - мужчинка в костюме это мы,подключаемся по VPN и нам доступен только GateWay(шлюз) на котором установлен фаервол,который предстоит обойти,за ним находится два сегмента сети ,и общее количество машин которое предстоит взломать равно 14. Вообщем есть на чем попрактиковаться)))
Немножко ниже на странице TestLab v10 есть поля ввода токенов,график валидации токенов,топ10 игроков,статистика по к-тву сданных токенов ,и в правом нижнем углу доска валидации токенов игроками со шкалой времени.

С навигацией по сайту разобрались. Давайте подготовимся к пентесту теперь )))))
Последующие шаги совсем не обязательные , но я делаю их для удобства,для себя.
Для начала я создам перечень директорий ,что бы складывать туда найденные файлы на удаленных машинах,да и вообще все что может быть связано с удаленной машиной)
У меня это выглядит примерно так:

Так же я пользуюсь программкой keepnote( по умолчании есть в кали) для удобного ведения записей о какой найденной информации:

На этом подготовка закончилась. Начнем наш пентест.
Пинганем шлюз.Проверим что там у нас на нем крутятся за службы и какие открытые порты с помощью nmap-а:

Как мы видим у нас на гейтвее есть ssh,smtp,http,https и веб морда от почтового клиента.

Хочу обратить ваше внимание на то что совсем не означает что эти все сервисы которые обнаружил Nmap, расоположенны именно на шлюзе,это может означает что эти порты просто проброшены из машин внутренней сети на шлюз. То есть сущестует очень большая вероятность того что атакуя 22 порт на шлюзе мы на самом деле будем атаковать ssh(172.16.0.8) сервер который находится внутри сети.Так же хочу заметить что ssh порт (22) представляет большую ценность,так как его можно использовать как тунель с внешней сети во внутреннюю.Вообщем далее вам все будет ясно.
Сейчас пока давайте попытаемся что то нарыть,собрать информации побольше из внешнего периметра...
Гуляя по сайту на 443 порту мы натыкаемся на контактную информацию,а так же в исходном коде страницы мы замечаем в служебных комментариях еще одну фамилию.

Хмм... При этом всем мы прекрасно помним что на шлюзе у нас есть smtp открытый порт.И посему проверить на легкие словарные пароли к почтовым аккаунтам я думаю нам не составит никакого труда.Давайте лишь создадим список учетных записей которых мы хотим прогнать по словарю:

Тут логика в том что мы предположили что Alfred Modlin так же может иметь почту в домене gds.lab.
Ну что ж давайте прогоним по словарю из John-а) (Брать сразу большой словарь не вижу смысла имхо)
P/S: В тест-лабах если что то брутится дольше чем 15-20 минут - значит мы что то делаем не так)
И так наша команда для брутфорсера Hydra будет выглядим примерно следующим образом:

hydra -L users.txt -P /usr/share/john/password.lst -F -o good.txt smtp://192.168.101.9

И как видим,удача на нашей стороне)
Дальше вспоминаем что у нас есть на 8100 порту почтовый клиент ComunityGate
Идем туда,вводим логин,пароль и попадаем в почту)
В сообщениях видим письмо с темой "TOKEN"
Открываем его и берем свой первый токен))

Продолжение следует...
Дальше мы с вами возьмем наш второй токен,попадем во внутреннюю сеть,и научимся делать пробросы портов)

Всем спасибо)

Следующая глава
Оглавление

 

[Dmitry88]

Ну я Kali заинтересовался несколько лет назад, но сильно детально его не копал и не изучал (работа, быт и т.п.) особо времени маловато. А в последние несколько недель времени стало больше вот и заморочился. Дойдя до брута/словаринга естественно возникло много вопросов насчет словарей... и вчера на просторах инета нашел словари типа top500, top4000 и подобных.
Раз вы человек в этом деле подкованный, скажите: насколько они эффективны?
Я так полагаю, что люди которые по своей сути занимаются именно безопасностью имеют уже свои наработанные словари. Так ли это? или опровергните мои слова.
Заранее благодарю)
[doublepost=1487323511,1487316198][/doublepost]ах да, а отчего зависит место в Pentestit.lab? от скорости получения Token'ов?

1) По словарям не скажу, опыта мало. Знаю только то что разные словари выбирают под разные задачи. Есть общие , есть целевые (например связки стандартных логинов\паролей для определенных моделей роутеров и прочее.) , есть тематические , заточенные под определенную страну (либо сгенерированные номера моб телефонов определенного региона, ведь мы знаем, что их иногда используют как пароли). Зачастую у тех, кто занимается брутом есть свои любимые наборы словарей.

2) Именно. Кто первый получил все токены получает первое место. И т.д. Зачастую пентестеры объединяются в команды для повышения КПД.

 

[AlekseyM]

спасибо за разъяснение)

 

[VikTor1990]

Сейчас пока давайте попытаемся что то нарыть,собрать информации побольше из внешнего периметра...
Гуляя по сайту на 443 порту мы натыкаемся на контактную информацию,а так же в исходном коде страницы мы замечаем в служебных комментариях еще одну фамилию.

Спасибо большое за разъяснения, очень хорошая статья, возникли проблемы с фамилией в исходном коде (точнее отсутствие фамилии), возможно убрали, также возникла проблема с брутфорсом через hydra ждал почти час и результатов не было

Hydra выдала только:

root@kali:~# hydra -L /root/PentestIT/Testlab_v10/site/users.txt -P /usr/share/john/password.lst -F -o good.txt smtp://192.168.101.9
Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2017-03-01 15:53:49
[INFO] several providers have implemented cracking protection, check with a small wordlist first - and stay legal!
[WARNING] Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort...
[DATA] max 16 tasks per 1 server, overall 64 tasks, 7118 login tries (l:2/p:3559), ~6 tries per task
[DATA] attacking service smtp on port 25
[STATUS] 223.00 tries/min, 223 tries in 00:01h, 6895 to do in 00:31h, 16 active

и зависла, хотя по логину и паролю который вы достали, в почту я вошел и токен забрал, но это уже не тестирование а непонятно что.

Если есть время, разъясните пожалуйста что я не так делаю

Заранее благодарю

 

[pyz]

Доброе время суток! Сравнительно недавно попал на форум. И не зря, пока доволен)). Автору данной серии статей отдельное спасибо

 

[<~DarkNode~>]

ах да, а отчего зависит место в Pentestit.lab? от скорости получения Token'ов?

Обычное состязание на "кто первый возьмет все токены"

 

[zehrx]

Очень круто! Спасибо большое. Хотел спросить а как также раскрасить терминал. Настраивал цвета вручную, но там совсем не так интересно.

Спасибо большое за разъяснения, очень хорошая статья, возникли проблемы с фамилией в исходном коде (точнее отсутствие фамилии), возможно убрали, также возникла проблема с брутфорсом через hydra ждал почти час и результатов не было

Hydra выдала только:

root@kali:~# hydra -L /root/PentestIT/Testlab_v10/site/users.txt -P /usr/share/john/password.lst -F -o good.txt smtp://192.168.101.9
Hydra v8.3 (c) 2016 by van Hauser/THC - Please do not use in military or secret service organizations, or for illegal purposes.

Hydra (http://www.thc.org/thc-hydra) starting at 2017-03-01 15:53:49
[INFO] several providers have implemented cracking protection, check with a small wordlist first - and stay legal!
[WARNING] Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort...
[DATA] max 16 tasks per 1 server, overall 64 tasks, 7118 login tries (l:2/p:3559), ~6 tries per task
[DATA] attacking service smtp on port 25
[STATUS] 223.00 tries/min, 223 tries in 00:01h, 6895 to do in 00:31h, 16 active

и зависла, хотя по логину и паролю который вы достали, в почту я вошел и токен забрал, но это уже не тестирование а непонятно что.

Если есть время, разъясните пожалуйста что я не так делаю

Заранее благодарю

1. Фамилия есть, но она только на главной в комментах, сначала тоже думал, что убрали
2. Она не зависла, у меня 36 мин перебор был, хотя ком core i7 с 16гб оперативы. У Вас пишет, что идет перебор, 223 варианта перебрали за первую минуту, осталось 6895 вариантов. Далее они уменьшаются. У меня правда вариантов 10К+ было, но не суть. Попробуйте еще раз, если не получится, то проверьте файл users.txt на наличие всех 3-х email-ов + чекни пароли Джона на наличие пароля justdoit, если все есть, значит должно работать.

Надеюсь помог.

 

[VikTor1990]

1. Фамилия есть, но она только на главной в комментах, сначала тоже думал, что убрали
2. Она не зависла, у меня 36 мин перебор был, хотя ком core i7 с 16гб оперативы. У Вас пишет, что идет перебор, 223 варианта перебрали за первую минуту, осталось 6895 вариантов. Далее они уменьшаются. У меня правда вариантов 10К+ было, но не суть. Попробуйте еще раз, если не получится, то проверьте файл users.txt на наличие всех 3-х email-ов + чекни пароли Джона на наличие пароля justdoit, если все есть, значит должно работать.

Надеюсь помог.

Благодарю буду пробовать

 

[rado]

начал проходить. посмотрим что за lab

 

[Dikoy]

На редкость хорошая статья. Даже новичок ,вроде меня, может разобраться. Спасибо за труд.

 

[hdmoor]

nmap-ом просканил :

nmap -Pn 192.168.100.9

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-05-02 04:01 UTC
Nmap scan report for 192.168.100.9
Host is up.
All 1000 scanned ports on 192.168.100.9 are filtered

Nmap done: 1 IP address (1 host up) scanned in 201.35 seconds

Тогда я с ключом open:

nmap --open Pn 192.168.100.9

Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-05-02 04:20 UTC
Nmap scan report for Pn (80.68.93.100)
Host is up (0.11s latency).
rDNS record for 80.68.93.100: tedside.pitcairn.net.pn
Not shown: 997 closed ports, 1 filtered port
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain

Nmap done: 2 IP addresses (1 host up) scanned in 11.72 seconds

Открыты только 22/tcp - ssh и 53/tcp - domain, другой ip (80.68.93.100), подскажите пж куда в этой ситуации копать.

 

[Ruf]

DarkNode за какое время вы прошли лабораторию) ?

 

[Pavke]

Огромное спасибо за статью - отличное разъяснение для новика, как я

 

[<~DarkNode~>]

DarkNode за какое время вы прошли лабораторию) ?

Около 2х недель.

 

[hdmoor]

спасибо за ответ

 

[Jimi_lo]

U menya zatup. ne sozdaet @tn0@ start_vpn wrode vipolnyaetsya, posle step prav755/ no nizego ne proishodit((

 

[sgushenka]

не совсем понял как скрипт создать
можно этот момент попдробнее

 

[mrLlaphrra]

У меня почему то не появляется новый интерфейс tun0 =(

 

[Free]

Автору респект, получил
первый токен, все хорошо.
У меня вопрос, пробовал проведение брутфорса разными способами( гидра, патрол, интрудер бурпа), все равно очень долго, а можно как-то связать эти программы с вычисление на графической карте(ч/з библиотеку Сuda), при взломе с wifi очень хорошо помогает. Хотя это разные "вещи".

 

[lesanglier]

шикарная статья читается на одном дыхании как мемуар.. автору респект

 

[morheus]

Большое спасибо, больше всего жду как раз эти лабы на пару с калитемами:З