|
https://forum.antichat.xyz/attachmen...d50cb344cc.png
Приветствую Вас дорогие друзья) Ну вот настало время очередной лаборатории тестирования на проникновения , в которой вы снова сможете попрактиковаться в пентесте. И я как и в прошлых своих статьях попытаюсь вам в этом помочь и разобраться с неясностями) Ну что же, давайте приступать: И такTestLab v11 "Who Is Mr.Hacker" (Кто такой Мистер Хакер) представляет большую ,по сравнению с предыдущими лабораториями, корпоративную сеть в которой есть уязвимые места входа во внутреннюю сеть и также на каждой машине есть предусмотренная та или иная уязвимость ,которая позволит нам получит доступ к конфиденциальной информации ,которую разработчики представили нам в виде секретных токенов)) Для тех кто решил попробовать себя в пентесте впервые , прочтите эту статью , в которой расписано как подключаться к лаборатории тестирования на проникновение. Сперва давайте посмотрим на карту сети: https://forum.antichat.xyz/attachmen...316d691583.png Как видим по карте , корпоративная сеть поделена на несколько сегментов, и так же у нас есть доступные из внешней сети хосты , так называемые энтрипоинтс (точки входа) с IP-адресами 192.168.101.10 и 192.168.101.11 Их мы и просканируем на открытые сервисы утилитой nmap https://forum.antichat.xyz/attachments/4780646/1.png Видим что на первом хосте (192.168.101.10) размещены целых 4 сервиса , а на втором только SSH сервис на 2222 порту. Замечаем почтовый SMTP сервер на 25 порту и веб интерфейс(roun от него на 8080 порту: https://forum.antichat.xyz/attachments/4780646/4.png Соответственно смотрим остальные сервисы: Видим какой то сайт внешне похож на блог: https://forum.antichat.xyz/attachments/4780646/2.png И на 88 порту видим vtiger CRM версии 6.3.0 . Надпись на фронтенде сразу же проситься поискать эксплоит на эту версию https://forum.antichat.xyz/attachments/4780646/3.png https://forum.antichat.xyz/attachments/4780646/001.png Но этот эксплоийт требует быть залогиненым в системе CRM. По этому нам придется таки туда пробиться) Так же в мета тегах видим версию WordPress CMS на основном сайте: https://forum.antichat.xyz/attachments/4780646/6.png Попробуем найти валидного юзера, сперва давайте посмотрим на пост, на WordPress-е,видим что пост создан юзером LabAdmin : https://forum.antichat.xyz/attachments/4780646/5.png Пробуем этого юзера в админке WP(WordPress) https://forum.antichat.xyz/attachments/4780646/7.png Входе иследования вордпресс был обнаружен уязвимый плагин,но о нем мы поговорим немножко поже, так как после многочисленных попыток пробить WAF , мы узнали что это трата времени и мы пошли дальше. Давайте теперь попробуем узнать имя домена через прямой коннект к SMTP серверу: https://forum.antichat.xyz/attachments/4780646/9.png К сожалению перечисление учетных записей сделать не сможем, так как функции VRFY и EXPN отключены. Видим домен mail.ptest.lab Пробуем ресетнуть пароль по этой почте: https://forum.antichat.xyz/attachments/4780646/10.png Увы пишет что пользователей с таким именем не зарегистрирован. Затем методом проб и ошибок мы обнаруживает что почта admin@test.lab подходит для сброса пароля: https://forum.antichat.xyz/attachments/4780646/8.png Эта же почта так же подходит и для сброса пароля в CRM : https://forum.antichat.xyz/attachments/4780646/11.png наверняка понимая что доступ к админке нам просто необходим , поставим на брут все таки ... Можно конечно брутить и в BurpSuite и в Hydra и т.д Но я все же хочу показать как составляется команда для Patator. Сперва давайте поглядим на запрос в Бурпе https://forum.antichat.xyz/attachments/4780646/14.png Как видим после попытки логина идет редирект(переадресация) на index.php?module=Users&parente=Setting&view=Login& error=1 И после переадресации мы можем видеть ошибку о неправильной попытке логина: https://forum.antichat.xyz/attachments/4780646/24.png Теперь давайте посмотрим справку по http_fuzz в patator: https://forum.antichat.xyz/attachments/4780646/23.png Тут нас интересует метод POST с последующей переадресацией. Так же мы можем настроить Patator ддя фильтрации текста ошибки не верного логина. В целом команда для брута выглядит так: patator http_fuzz url="http://192.168.101.10:88/index.php?module=Users&action=Login" method=POST body='__vtrftk=sid%3A02035db39bbf95e6889542705c5e4 f563375d902%2C1500050845&username=admin&password=FILE0' 0=pass.txt follow=1 -x ignore:fgrep='Invalid username or password.' Теперь давайте разберем по порядку: url -- путь к скрипту авторизации (взяли из BurpSuite) method=POST -- (способ отправки данных на сервер через POST запрос) body='POST DATA' -- данные которые мы передаем в POST запросе , место для брута мы помечаем FILE0, затем указываем нужный словарь "0=pass.txt" follow=1 -- разрешить переадресацию (301,302) -x ignore:fgrep='Invalid username or password.' -- указать текстовую строку для парсинга в ответах на заросы, что бы проигнорировать ее. На деле выглядит так: https://forum.antichat.xyz/attachments/4780646/16.png Дальше логинимся в админку, и замечаем странность в имени админа: https://forum.antichat.xyz/attachments/4780646/18.png Пробуем проэксплуатировать эксплоит с exploit.db , но увы обычный аплоад файлов через index.php не работает. Значит мы идем в настройки компании и пробуем залить шелл через лого компании: https://forum.antichat.xyz/attachments/4780646/25.png Но от нас хотят картинку размером 170x60 пикселей, делаем ресайз: https://forum.antichat.xyz/attachments/4780646/19.png Заливаем в картинку шелл: https://forum.antichat.xyz/attachments/4780646/20.png Дальше в BurpSuite перехватываем запрос и изменяем разширения из .jpg на .php https://forum.antichat.xyz/attachments/4780646/21.png Дальше отсылаем запрос на сервер, и идем по пути к нашему файлу(http://192.168.101.10:88/test/logo/anon.php): https://forum.antichat.xyz/attachments/4780646/27.png Дальше просто поднимаемся в корень сайта и забираем токен: https://forum.antichat.xyz/attachments/4780646/28.png Ну вот и все) Первый токен взят))) Продолжим наш пентест в следующей статье) Видео к статье: |
Цитата:
[doublepost=1500134561,1500134121][/doublepost] Цитата:
|
Цитата:
|
Молодец. Важно заметить, что шелл должен быть не <?php а строго <? и есть возможность залить чистый php без картинки. Я делал так: Создал два файла с одинакомвы содержимым php (Для того чтобы совпадала Content-Length), но с разными расширениями. Первый jpg второй php. На самом для того, чтобы обмануть клиентский валидатор, который мне лень было отключать. Ловим бурпом jpg меняем расширение на php и бинго.
|
Цитата:
|
Цитата:
Заменить все теги <?php на <? Что бы в репитер добавить запрос нужно на перехваченом запросе жмакнуть ПКМ и выбрать там "send to repeater" Я просто юзаю хоткей ctrl+shift+r |
Цитата:
Также, если ознакомиться с эксплойтом, то можно прочитать следующее Цитата:
Цитата:
Цитата:
- Идете на страницу с CRM - Вводите логин admin и любой пароль. Нажимаете на "Sign in" - В Burp Suite ловите запрос https://forum.antichat.xyz/attachmen...9d7cefd150.png - ПКМ по полю https://forum.antichat.xyz/attachmen...ad585baf64.png и выбираете "Send to Intruder" - Кликаете на вкладку "Intruder" - Вкладка "Target" https://forum.antichat.xyz/attachmen...7527106a9f.png - Вкладка "Positions" Тут мы оставим только пароль для перебора. Остальные параметры отредактируем https://forum.antichat.xyz/attachmen...7f62a1f086.png Результат https://forum.antichat.xyz/attachmen...98f1414dd8.png - На вкладка "Payloads" выбираете "Payload type" Simple list или Runtime file. Допустим, выбрали Simple list. В секции Payload Options [Simple list] нажимаете на Load... и выбираете SecLists файл на 100000 паролей. Остальное подстраиваете под себя. Нажимаете на Start atack и ждете. Во вкладке Results можно выбрать сортировку по Length по убыванию. |
Код:
Код:
ssh -L 192.168.1.237:3390:192.168.12.2:3389 morgan@172.16.0.252 -p 22 -i /key[doublepost=1500999590,1500999553][/doublepost]А еще можно траффик завернуть в sshuttle Код: Код:
sshuttle -e "ssh -i /key" -r morgan@172.16.0.252 192.168.10.0/24 192.168.11.0/24 192.168.12.0/24 |
для тех кто хочет по соревноваться с зверем по названиемWAFпредлагаю Вам инструмент
Framework for Testing WAFs скачать |
tamper-ы в помощь! ))
|
| Время: 18:55 |