Vander
28.06.2017, 23:52
Всем привет! В этой статье, я хочу показать взлом уязвимой виртуальной машины, в рамках CTF Challenge.
Итак, Hack the Sedna.
Качаем VM образ отсюда – https://download.vulnhub.com/hackfest2016/
Открываем его в VM Ware и запускаем, в качестве атакующего хоста Kali Linux 2017.2
https://forum.antichat.xyz/attachments/28956852/img_3fc0300043.png
На скриншоте видно, по какому адресу находится уязвимая VM, просканируем для начала порты:
> nmap –sV –A 172.16.0.146
Результатом будет много информации:
https://forum.antichat.xyz/attachments/28956852/img_679660af82.png
Дальше было предпринято несколько попыток сканирования и брута, но ощутимых результатов они не принесли. Сразу скажу, что при сканировании с помощью nikto, он обнаруживает файл license.txt где и скрыта подсказка.
https://forum.antichat.xyz/attachments/28956852/img_4b856920df.png
Вот собственно и она:
https://forum.antichat.xyz/attachments/28956852/img_f4cf3e11d1.png
Если пойти в Google по этому слову, то одна из первых ссылок укажет нам на эксплоит, до этого, о существовании друг друга мы с ним не знали - BuilderEngine Arbitrary File Upload Vulnerability and execution.
Этот модуль использует уязвимость, найденную в BuilderEngine 3.5.0 через elFinder 2.0. Плагин jquery-file-upload имеет возможность загрузки вредоносного файла, что приведет к произвольному выполнению удаленного кода в контексте веб-сервера.
Запускаем Metasploit Framework:
> msfconsole
> use exploit/multi/http/builderengine_upload_exec
> show targets
> set target 0 (Выбираем таргет)
https://forum.antichat.xyz/attachments/28956852/img_23baf6ad69.png
Смотрим опции и указываем целевой хост:
> show options
> set rhost 172.16.0.146
> exploit
Если все прошло успешно, то получаем активную сессию meterpreter:
https://forum.antichat.xyz/attachments/28956852/img_daeff92bec.png
В директории /var/www – находим флаг.
https://forum.antichat.xyz/attachments/28956852/img_f36672d0bd.png
Дальнейшие поиски привели меня в директорию /etc/chkrootkit/, где любопытным оказался файл README, читаем его:
> cat README
https://forum.antichat.xyz/attachments/28956852/img_fe044e9de9.png
Опять, топаем в Google, за информацией о chkrootkit и как его наличие в системе, может нам помочь.
Chkrootkit -представляет собой сканер, который по тем или иным признакам поиска, отслеживает наличие руткита в локальной системе. Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:
· chkrootkit - проверка системы.
· ifpromisc - обнаружение режима захвата пакетов.
· chklastlog - обнаружение факта удаления записей из файла lastlog.
· chkwtmp - то же, из файла wtmp.
· chkproc - обнаружение следов трояна (LKM).
· strings - поиск и замена текстовых строк.
А, погуглив еще немного, можно найти информацию о модуле Metasploit - Chkrootkit - Privilege Escalation (Metasploit)
Chkrootkit до версии 0.50 будет запускать любой исполняемый файл с именем / tmp / update с правами root, что позволяет осуществить тривиальную эскалацию привилегий. WfsDelay настроен на период 24 часа, так как, по умолчанию, с такой частотой выполняется проверка chkrootkit.
Нам все подходит, версия нашего Chkrootkit, 0.49, значит должна успешно про эксплуатироваться.
Сворачиваем активную сессию и активируемChkrootkit - Privilege Escalation:
> background
> use exploit/unix/local/chkrootkit
> show targets
> show options (можно оставлять все по умолчанию, кроме параметра – сессия)
> set session 1
https://forum.antichat.xyz/attachments/28956852/img_20f0187ff3.png
Затем запускаем эксплоит, немного ждем, затем:
> sessions
https://forum.antichat.xyz/attachments/28956852/img_29623e60db.png
Выберем вторую сессию и осмотримся:
> session –I 2
> pwd
> ls –l
> cat flag.txt (забираем второй флаг)
https://forum.antichat.xyz/attachments/28956852/img_badf9b4828.png
Теперь мы root, продолжим ковыряния VM. В папке /etc/tomcat7 в файле tomcat-users.xml
Можно обнаружить логин и пароль от Tomcat7. Tomcat — контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Tomcat позволяет запускать веб-приложения, содержит ряд программ для самоконфигурирования.
Tomcat используется в качестве самостоятельного веб-сервера, в качестве сервера контента в сочетании с веб-сервером Apache HTTP Server, а также в качестве контейнера сервлетов в серверах приложений JBoss и GlassFish.
https://forum.antichat.xyz/attachments/28956852/img_9a49c90d28.png
Используем полученные данные для доступа к tomcat:
> 172.16.0.146:8080/manager/html (по этому адресу находится административная панель)
https://forum.antichat.xyz/attachments/28956852/img_563a021bbc.png
Я полагаю, это и есть 3-ий пост эксплуатационный флаг.
https://forum.antichat.xyz/attachments/28956852/img_3076c01f1d.png
Четвертый, и последний флаг, подсказку можно увидеть в директории:
> сd /etc
> сat shadow
https://forum.antichat.xyz/attachments/28956852/img_adc0df5bb1.png
Shadow и зачем он нужен:
Кроме имени (первое поле каждой строки) и хеша (второе поле) здесь также хранятся
· дата последнего изменения пароля,
· через сколько дней можно будет поменять пароль,
· через сколько дней пароль устареет,
· за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,
· через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,
· дата, при достижении которой учётная запись блокируется,
· зарезервированное поле.
https://forum.antichat.xyz/attachments/28956852/img_271b6a0605.png
Копируем хэш (это и есть последний флаг) и все остальное в отдельный файл на атакующем хосте:
https://forum.antichat.xyz/attachments/28956852/img_7b20a9568d.png
Затем используем john с опцией –single для расшифровки хэша:
> john –single sedna.txt
https://forum.antichat.xyz/attachments/28956852/img_85442de9e2.png
Все флаги найдены. На этом все, спасибо за внимание.
Итак, Hack the Sedna.
Качаем VM образ отсюда – https://download.vulnhub.com/hackfest2016/
Открываем его в VM Ware и запускаем, в качестве атакующего хоста Kali Linux 2017.2
https://forum.antichat.xyz/attachments/28956852/img_3fc0300043.png
На скриншоте видно, по какому адресу находится уязвимая VM, просканируем для начала порты:
> nmap –sV –A 172.16.0.146
Результатом будет много информации:
https://forum.antichat.xyz/attachments/28956852/img_679660af82.png
Дальше было предпринято несколько попыток сканирования и брута, но ощутимых результатов они не принесли. Сразу скажу, что при сканировании с помощью nikto, он обнаруживает файл license.txt где и скрыта подсказка.
https://forum.antichat.xyz/attachments/28956852/img_4b856920df.png
Вот собственно и она:
https://forum.antichat.xyz/attachments/28956852/img_f4cf3e11d1.png
Если пойти в Google по этому слову, то одна из первых ссылок укажет нам на эксплоит, до этого, о существовании друг друга мы с ним не знали - BuilderEngine Arbitrary File Upload Vulnerability and execution.
Этот модуль использует уязвимость, найденную в BuilderEngine 3.5.0 через elFinder 2.0. Плагин jquery-file-upload имеет возможность загрузки вредоносного файла, что приведет к произвольному выполнению удаленного кода в контексте веб-сервера.
Запускаем Metasploit Framework:
> msfconsole
> use exploit/multi/http/builderengine_upload_exec
> show targets
> set target 0 (Выбираем таргет)
https://forum.antichat.xyz/attachments/28956852/img_23baf6ad69.png
Смотрим опции и указываем целевой хост:
> show options
> set rhost 172.16.0.146
> exploit
Если все прошло успешно, то получаем активную сессию meterpreter:
https://forum.antichat.xyz/attachments/28956852/img_daeff92bec.png
В директории /var/www – находим флаг.
https://forum.antichat.xyz/attachments/28956852/img_f36672d0bd.png
Дальнейшие поиски привели меня в директорию /etc/chkrootkit/, где любопытным оказался файл README, читаем его:
> cat README
https://forum.antichat.xyz/attachments/28956852/img_fe044e9de9.png
Опять, топаем в Google, за информацией о chkrootkit и как его наличие в системе, может нам помочь.
Chkrootkit -представляет собой сканер, который по тем или иным признакам поиска, отслеживает наличие руткита в локальной системе. Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:
· chkrootkit - проверка системы.
· ifpromisc - обнаружение режима захвата пакетов.
· chklastlog - обнаружение факта удаления записей из файла lastlog.
· chkwtmp - то же, из файла wtmp.
· chkproc - обнаружение следов трояна (LKM).
· strings - поиск и замена текстовых строк.
А, погуглив еще немного, можно найти информацию о модуле Metasploit - Chkrootkit - Privilege Escalation (Metasploit)
Chkrootkit до версии 0.50 будет запускать любой исполняемый файл с именем / tmp / update с правами root, что позволяет осуществить тривиальную эскалацию привилегий. WfsDelay настроен на период 24 часа, так как, по умолчанию, с такой частотой выполняется проверка chkrootkit.
Нам все подходит, версия нашего Chkrootkit, 0.49, значит должна успешно про эксплуатироваться.
Сворачиваем активную сессию и активируемChkrootkit - Privilege Escalation:
> background
> use exploit/unix/local/chkrootkit
> show targets
> show options (можно оставлять все по умолчанию, кроме параметра – сессия)
> set session 1
https://forum.antichat.xyz/attachments/28956852/img_20f0187ff3.png
Затем запускаем эксплоит, немного ждем, затем:
> sessions
https://forum.antichat.xyz/attachments/28956852/img_29623e60db.png
Выберем вторую сессию и осмотримся:
> session –I 2
> pwd
> ls –l
> cat flag.txt (забираем второй флаг)
https://forum.antichat.xyz/attachments/28956852/img_badf9b4828.png
Теперь мы root, продолжим ковыряния VM. В папке /etc/tomcat7 в файле tomcat-users.xml
Можно обнаружить логин и пароль от Tomcat7. Tomcat — контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Tomcat позволяет запускать веб-приложения, содержит ряд программ для самоконфигурирования.
Tomcat используется в качестве самостоятельного веб-сервера, в качестве сервера контента в сочетании с веб-сервером Apache HTTP Server, а также в качестве контейнера сервлетов в серверах приложений JBoss и GlassFish.
https://forum.antichat.xyz/attachments/28956852/img_9a49c90d28.png
Используем полученные данные для доступа к tomcat:
> 172.16.0.146:8080/manager/html (по этому адресу находится административная панель)
https://forum.antichat.xyz/attachments/28956852/img_563a021bbc.png
Я полагаю, это и есть 3-ий пост эксплуатационный флаг.
https://forum.antichat.xyz/attachments/28956852/img_3076c01f1d.png
Четвертый, и последний флаг, подсказку можно увидеть в директории:
> сd /etc
> сat shadow
https://forum.antichat.xyz/attachments/28956852/img_adc0df5bb1.png
Shadow и зачем он нужен:
Кроме имени (первое поле каждой строки) и хеша (второе поле) здесь также хранятся
· дата последнего изменения пароля,
· через сколько дней можно будет поменять пароль,
· через сколько дней пароль устареет,
· за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,
· через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,
· дата, при достижении которой учётная запись блокируется,
· зарезервированное поле.
https://forum.antichat.xyz/attachments/28956852/img_271b6a0605.png
Копируем хэш (это и есть последний флаг) и все остальное в отдельный файл на атакующем хосте:
https://forum.antichat.xyz/attachments/28956852/img_7b20a9568d.png
Затем используем john с опцией –single для расшифровки хэша:
> john –single sedna.txt
https://forum.antichat.xyz/attachments/28956852/img_85442de9e2.png
Все флаги найдены. На этом все, спасибо за внимание.