Cyberrange Задание: Bootcamp
Комментарий автора: я решил добавить в статью часть моих мыслей и решений, так как когда читал чужие статьи всегда хотел увидеть не их решение, а ход их мыслей
Оглавление
Из этой разведки я сделал следующий файлик который нужно закинуть в /etc/hosts
После провёл разведку по всем сайтам узнал что за функционал на них , как ни как нужно будет проводить разведку
(Эта информация пригодться в будуйщем )
Получите список учетных записей с внешних веб-ресурсов компании. Восстановите пропущенные символы в адресе r***s@edu.stf и укажите его в отчете полностью.
Внимательно изучив сайты я нашел на внизу сайта, 3 почты одна из которых подошла к флагу
Комментарий автора: Да одно предложение , но там правда просто походить по сайтам и найти почты(если не ошибаюсь я даже как то командой dig вытаскивал эти почты), p.s посмотрите на кол во решений этого задания
Думаю изучив внимательно сайты , вы нашли пару web старниц логинов и паролей, на которых вы наверное попробовали брутфорс , но ничего не нашли да , это довольно печально >︿<
Комментарий автора: я сначала тоже думал что нужно искать именно их ...
Логические предположения
Следует логично предположить, что стоит продолжить поиск. И подумать где же может быть почта
Неправильное направление
Где искать? Возможно, стоит обратить внимание на другие порты, в том числе нестандартные. Я просканировал систему с помощью Nmap, но не нашел ничего интересного. Директории оказались пустыми, а поиск поддоменов был частично правильным решением. Логично было бы искать домен mail.***, но, к сожалению, этот метод не сработал (возможно, моя память меня подводит).
Правильный подход
Правильным шагом было бы использовать утилиты, которые помогут определить, где в нашей VPN находится почтовая машина. Для этого можно воспользоваться стандартными утилитами dig и nslookup. Однако важно помнить, что нужно обращаться к той машине, которая располагает соответствующей информацией — а именно, к машине с DNS на порту 53. Вы должны знать ее IP-адрес, если сканировали сеть.
Нужно понять что выводит команды а не просто их скопировать (*  ̄︿ ̄)
Рекомендую почитать про DNS отдельно
Способ 2
Далее наша атака:
Подклюючаемся по !https a не http, перехватываем наш запрос и идем брутить
Я использовал бюрп про, на обычной версии это может быть чуть дольше но не критично
Далее переходим в бюпр пакет в Intruder -> меням атаку на Cluster bomb указываем два параметра перебора и данные логинов и паролей
во вкладке payloads соответственно наши логины для 1 нагрузки , а для 2 пароли
{!Заметка: запишите найденные пароли они будут использовать не только в этом задании }
Смотрим результат и видим разные длину ответа (фильтруем по длине ответа )и делаем вывод где нужный пароль
(два логина и пароль для двух почт ) на одной из почт отправляете письмо на адрес getmailflag@edu.stf или если повезёт письмо уже будет отправлено , и нужно будет просто забрать флаг
Посмотрев на кол во решённых это задание человек я понял что задание, должно решаться в один клик... ( ͠° ͟ʖ ͡°)
Осталось найти этот клик ⌨
Учитывая что Первая разведка была на домене www я решил снова обратиться к нему...
после сканирования нашёл директорий любым сканером http://www.edu.stf/ТУТ это директория ищите (T_T)
(для примера dirsearch -u YOUR URL)
(ну и на этом подкаталоге будет наш vpn config я сначало думал что нужно подключитьс к этому впн конфигу и там будет флаг... НО для данног задания флаг находиться на первых строках)
(кстати мысль что этот впн конфиг будет нужен дальше была верная , для следующих заданий )
Комментарий автора: я решил добавить в статью часть моих мыслей и решений, так как когда читал чужие статьи всегда хотел увидеть не их решение, а ход их мыслей
Оглавление
- Перед решением (разведка)
- [infra-1]Внешняя разведка
- [infra-2] Получение доступа к внутренней почте
- [infra-3] Получение доступа к VPN компании
1.Перед решением
Нужно провести разведку всей сети , чтобы иметь представление кто где и почему , у нас это :10.124.1.224/27
Код:
nmap -sP 10.124.1.224/27
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-25 12:49 EDT
Nmap scan report for aircraft.edu.stf (10.124.1.231)
Host is up (0.0053s latency).
Nmap scan report for calculator.edu.stf (10.124.1.232)
Host is up (0.0053s latency).
Nmap scan report for library.edu.stf (10.124.1.233)
Host is up (0.0058s latency).
Nmap scan report for wp.edu.stf (10.124.1.234)
Host is up (0.0057s latency).
Nmap scan report for www.edu.stf (10.124.1.235)
Host is up (0.0047s latency).
Nmap scan report for gallery.edu.stf (10.124.1.236)
Host is up (0.0045s latency).
Nmap scan report for utils.edu.stf (10.124.1.237)
Host is up (0.0039s latency).
Nmap scan report for shop.edu.stf (10.124.1.238)
Host is up (0.0044s latency).
Nmap scan report for tokenizer.edu.stf (10.124.1.239)
Host is up (0.0043s latency).
Nmap scan report for bind.edu.stf (10.124.1.240)
Host is up (0.0042s latency).
Nmap scan report for smashmusic.edu.stf (10.124.1.241)
Host is up (0.0046s latency).
Nmap scan report for test-webserver.edu.stf (10.124.1.242)
Host is up (0.0048s latency).
Nmap scan report for vpn.edu.stf (10.124.1.253)
Host is up (0.0039s latency).
Nmap done: 32 IP addresses (13 hosts up) scanned in 1.31 seconds
Из этой разведки я сделал следующий файлик который нужно закинуть в /etc/hosts
Код:
10.124.1.231 aircraft.edu.stf
10.124.1.232 calculator.edu.stf
10.124.1.233 library.edu.stf
10.124.1.234 wp.edu.stf
10.124.1.235 www.edu.stf
10.124.1.236 gallery.edu.stf
10.124.1.237 utils.edu.stf
10.124.1.238 shop.edu.stf
10.124.1.239 tokenizer.edu.stf
10.124.1.240 bind.edu.stf
10.124.1.241 smashmusic.edu.stf
10.124.1.242 test-webserver.edu.stf
10.124.1.253 vpn.edu.stf
(Эта информация пригодться в будуйщем )
2.[infra-1]Внешняя разведка
Задание:Получите список учетных записей с внешних веб-ресурсов компании. Восстановите пропущенные символы в адресе r***s@edu.stf и укажите его в отчете полностью.
Внимательно изучив сайты я нашел на внизу сайта, 3 почты одна из которых подошла к флагу
Комментарий автора: Да одно предложение , но там правда просто походить по сайтам и найти почты(если не ошибаюсь я даже как то командой dig вытаскивал эти почты), p.s посмотрите на кол во решений этого задания
3.[infra-2] Получение доступа к внутренней почте
Из задания берём вот эти пароли
Код:
password
anna
dancer
qwerty
12345678
omgpop
peanut
alexander
summer
ricardo
Думаю изучив внимательно сайты , вы нашли пару web старниц логинов и паролей, на которых вы наверное попробовали брутфорс , но ничего не нашли да , это довольно печально >︿<
Комментарий автора: я сначала тоже думал что нужно искать именно их ...
Логические предположения
Следует логично предположить, что стоит продолжить поиск. И подумать где же может быть почта
Неправильное направление
Где искать? Возможно, стоит обратить внимание на другие порты, в том числе нестандартные. Я просканировал систему с помощью Nmap, но не нашел ничего интересного. Директории оказались пустыми, а поиск поддоменов был частично правильным решением. Логично было бы искать домен mail.***, но, к сожалению, этот метод не сработал (возможно, моя память меня подводит).
Правильный подход
Правильным шагом было бы использовать утилиты, которые помогут определить, где в нашей VPN находится почтовая машина. Для этого можно воспользоваться стандартными утилитами dig и nslookup. Однако важно помнить, что нужно обращаться к той машине, которая располагает соответствующей информацией — а именно, к машине с DNS на порту 53. Вы должны знать ее IP-адрес, если сканировали сеть.
Нужно понять что выводит команды а не просто их скопировать (*  ̄︿ ̄)
Рекомендую почитать про DNS отдельно
nslookup mail.edu.stf 10.124.1.240
Server: 10.124.1.240
Address: 10.124.1.240#53
Name: mail.edu.stf
Address: 10.124.1.203
Команда запрашивает информацию о домене mail.edu.stf у DNS-сервера с IP-адресом 10.124.1.240. В результате возвращается информация о сервере и его IP-адресе:
Server: 10.124.1.240
Address: 10.124.1.240#53
Name: mail.edu.stf
Address: 10.124.1.203
Команда запрашивает информацию о домене mail.edu.stf у DNS-сервера с IP-адресом 10.124.1.240. В результате возвращается информация о сервере и его IP-адресе:
dig @10.124.1.240 edu.stf MX
; <<>> DiG 9.19.21-1-Debian <<>> @10.124.1.240 edu.stf MX
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5611
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: bc927840ec24cc790100000066d2c36b7d655ed7353a1ba8 (good)
;; QUESTION SECTION:
;edu.stf. IN MX
;; ANSWER SECTION:
edu.stf. 604800 IN MX 10 mail.edu.stf.
;; ADDITIONAL SECTION:
mail.edu.stf. 604800 IN A 10.124.1.203
;; Query time: 4 msec
;; SERVER: 10.124.1.240#53(10.124.1.240) (UDP)
;; WHEN: Sat Aug 31 03:17:01 EDT 2024
;; MSG SIZE rcvd: 101
Команда запрашивает записи Mail Exchange (MX) для домена edu.stf у DNS-сервера 10.124.1.240. Ответ включает в себя:
; <<>> DiG 9.19.21-1-Debian <<>> @10.124.1.240 edu.stf MX
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5611
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1232
; COOKIE: bc927840ec24cc790100000066d2c36b7d655ed7353a1ba8 (good)
;; QUESTION SECTION:
;edu.stf. IN MX
;; ANSWER SECTION:
edu.stf. 604800 IN MX 10 mail.edu.stf.
;; ADDITIONAL SECTION:
mail.edu.stf. 604800 IN A 10.124.1.203
;; Query time: 4 msec
;; SERVER: 10.124.1.240#53(10.124.1.240) (UDP)
;; WHEN: Sat Aug 31 03:17:01 EDT 2024
;; MSG SIZE rcvd: 101
Команда запрашивает записи Mail Exchange (MX) для домена edu.stf у DNS-сервера 10.124.1.240. Ответ включает в себя:
- Статус запроса (NOERROR означает, что запрос выполнен успешно).
- Запись MX, указывающую на почтовый сервер mail.edu.stf.
Далее наша атака:
Подклюючаемся по !https a не http, перехватываем наш запрос и идем брутить
Я использовал бюрп про, на обычной версии это может быть чуть дольше но не критично
Далее переходим в бюпр пакет в Intruder -> меням атаку на Cluster bomb указываем два параметра перебора и данные логинов и паролей
во вкладке payloads соответственно наши логины для 1 нагрузки , а для 2 пароли
{!Заметка: запишите найденные пароли они будут использовать не только в этом задании }
Смотрим результат и видим разные длину ответа (фильтруем по длине ответа )и делаем вывод где нужный пароль
(два логина и пароль для двух почт ) на одной из почт отправляете письмо на адрес getmailflag@edu.stf или если повезёт письмо уже будет отправлено , и нужно будет просто забрать флаг
4.[infra-3] Получение доступа к VPN компании
Я сначала думал что нужно сканить домен vpn.edu.stf но там вообще нельзя ничего найти, пока , пока я не нашёл...Посмотрев на кол во решённых это задание человек я понял что задание, должно решаться в один клик... ( ͠° ͟ʖ ͡°)
Осталось найти этот клик ⌨
Учитывая что Первая разведка была на домене www я решил снова обратиться к нему...
после сканирования нашёл директорий любым сканером http://www.edu.stf/ТУТ это директория ищите (T_T)
(для примера dirsearch -u YOUR URL)
(ну и на этом подкаталоге будет наш vpn config я сначало думал что нужно подключитьс к этому впн конфигу и там будет флаг... НО для данног задания флаг находиться на первых строках)
(кстати мысль что этот впн конфиг будет нужен дальше была верная , для следующих заданий )