hackme это еще один челлендж CTF, и мы благодарны x4bx54 за разработку этой виртуальной машины.
Здесь вам необходимо выявить ошибку, чтобы получить подключение обратной оболочки компьютера и попытаться получить доступ к корневой оболочке.
Эта виртуальная машина может быть загружена по приведенной ниже ссылке, и ее уровень установлен для начинающих.
https://www.vulnhub.com/entry/hackme-1,330/
Методика испытаний на проникновение
Сканирование
- Netdiscover
- Nmap
Перечисление
- Использование burp suite
Повышение привелегий
- Злоупотребление SUID Binary
Сканирование
Сначала мы начнем с сканирования с помощью команды netdiscover и определения IP-адреса хоста.
Здесь мы обнаружили, что IP-адрес хоста 192.168.1.108 работает.
netdiscover
|
Теперь мы будем использовать инструмент Nmap для перечисления портов, где мы обнаружили, что порты 22 и 80 открыты.
|
nmap –A 192.168.1.108
|
Перечисление
Теперь мы попробуем подключиться через порт 80, где мы найдем страницу входа.
Как мы видим, здесь есть опция регистрации, поэтому мы создадим новую учетную запись с именем пользователя и паролем.
И после создания новой учетной записи; мы успешно вошли в систему
Одновременно мы перехватили запрос этой страницы с помощью пакета burp.
Эксплуатация
Мы сохранили этот запрос в текстовом файле с именем sql.txt и теперь запустим sqlmap для извлечения информации базы данных из этого файла запроса.
sqlmap –r sql.txt —dbs —batch
|
Здесь у нас есть имена баз данных, из которых мы выбрали базу данных webapphacking, из которой мы хотим извлечь данные.
sqlmap –r sql.txt –D webapphacking —dump–all —batch
|
Как мы видим, вывод дал так много имен пользователей и паролей, кроме одного, который называется super admin; супер админ предоставляет только хеш-значение.
Чтобы взломать это хеш-значение, мы перейдем к онлайн-расшифровщику хэша, скопируем запрос и вставим его, чтобы расшифровать это хеш-значение.
И мы можем видеть, что он дал нам пароль в расшифрованном виде Uncrackable.
Теперь мы войдем через super admin с паролем, который мы нашли выше, и мы успешно вошли в систему.
192.168.1.108/welcomeadmin.php
|
Здесь мы нашли вариант загрузки файла, где мы будем загружать наш вредоносный файл, чтобы получить обратную оболочку машины.
Таким образом, я взял вредоносный файл «php-reverse-shell» из /usr/share/webshells/php и изменил прослушивающий ip, то есть Kali Linux IP, и назвал его shell.php.
Когда мы снова будем просматривать веб-морду, мы заполняем данные и обнаруживаем, что shell.php успешно загружен.
Поскольку мы не знаем, где находится каталог shell.php;
мы воспользуемся командой dirb, чтобы найти точное местоположение shell.php, и оно покажет нам, что оно находится внутри загрузок.
dirb http://192.168.1.108
|
Теперь, когда мы выполним /uploads/shell.php и получим сеанс на netcat, который одновременно работает на терминале.
Повышение привилегий
Мы успешно запустили сеанс netcat с оболочкой с низкими привилегиями, теперь мы будем искать двоичные файлы с поддержкой SUID, с помощью которых мы можем получить оболочку с привилегиями root, поэтому для этой цели мы будем использовать команду find, которая сообщит нам, что у нее есть разрешения SUID. ,
1
2
|
nc –lvp1234
find / –perm –u=s –type f 2>/dev/null
|
1
2
3
|
cd /home/legacy
./touchmenot
id
|
¯\_(ツ)_/¯
Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.