Păstrează-ți calmul și piratează cutia – Mirai

Hack The Box (HTB) este o platformă online care vă permite să vă testați abilitățile de testare a penetrării.

Conține o serie de provocări care sunt actualizate constant. Unele dintre ele simulează scenarii din lumea reală, iar altele se înclină mai mult spre un stil de provocare CTF.

Notă: Sunt permise doar înregistrările de echipamente HTB retrase.

Mirai este un bun exemplu al modului în care dispozitivele IoT configurate necorespunzător au condus la unul dintre cei mai mari vectori de atac în 2016. Dispozitivele IoT sunt exploatate în mod activ de botnets și utilizate pentru persistența pe termen lung de către atacatori.

Vom folosi următoarele instrumente pentru a amâna cutia pe un Kali Linux cutie:

• nmap
• gobuster
• Medusa
• Comenzi Linux

Să începem.

Pasul 1 – Recunoaștere

Primul pas înainte de a exploata o mașină este să faceți un pic de scanare și recunoaștere.

Aceasta este una dintre cele mai importante părți, deoarece va determina ce puteți încerca să exploatați după aceea. Este întotdeauna mai bine să petreceți mai mult timp în această fază pentru a obține cât mai multe informații.

Scanare port

voi folosi Nmap (Network Mapper). Nmap este un utilitar open source gratuit pentru descoperirea rețelei și audit de securitate.

Folosește pachete IP brute pentru a determina ce gazde sunt disponibile în rețea, ce servicii oferă aceste gazde, ce sisteme de operare rulează, ce tip de filtre de pachete / firewall sunt utilizate și alte zeci de caracteristici.

Există multe comenzi pe care le puteți utiliza cu acest instrument pentru a scana rețeaua. Dacă doriți să aflați mai multe despre aceasta, puteți arunca o privire la documentație aici.

Folosesc următoarea comandă pentru a efectua o scanare intensivă:

nmap -A -v 10.10.10.48

-A: Permite detectarea sistemului de operare, detectarea versiunilor, scanarea scriptului și traseul

-v: Crește nivelul de verbozitate

10.10.10.48: IP pentru caseta Mirai

Dacă găsiți rezultatele puțin prea copleșitoare, puteți încerca acest lucru:

nmap 10.10.10.48

Putem vedea că există 3 porturi deschise:

Port 22. Secure Shell (SSH), conectări sigure, transferuri de fișiere (scp, sftp) și redirecționare de porturi

Portul 53. Sistem de nume de domeniu (DNS)

Port 80. Protocol de transfer hipertext (HTTP). Aici este un server IIS.

Scanare directoare

eu folosesc Gobuster. Gobuster este un scaner de directoare scris în Go. Puteți găsi mai multe informații despre instrument aici.

Gobuster folosește liste de cuvinte pe Kali care se află în / usr / share / liste de cuvinte director. Folosesc liste de cuvinte de la dirb și dirbuster, dar puteți descărca mai multe liste de cuvinte din SecLists aici.

Folosesc această comandă pentru dirb common.txt listă de cuvinte:

gobuster dir -u 10.10.10.48 -w /usr/share/wordlists/dirb/common.txt

Văd câteva foldere interesante. Fac o altă scanare a directorului cu o listă de cuvinte diferită.

gobuster dir -u 10.10.10.48 -w /usr/share/worldlists/dirbuster/directory-list-lowercase-2.3-medium.txt

admin folderul este cu siguranță unul pe care îl voi vizita!

Pasul 2 – Vizitarea paginii web

Din faza de recunoaștere, decid să încep cu portul 80. Și primesc o pagină goală.

Din faza de recunoaștere, am găsit / admin dosar cu Gobuster. Navig la acest punct final:

10.10.10.48/admin

Ajung pe un tablou de bord de administrare Pi-hole.

Pi-gaură este o aplicație de publicitate la nivel de rețea Linux și aplicație de blocare a urmăritorului de Internet care acționează ca o dolină DNS și, opțional, ca un server DHCP, destinat utilizării într-o rețea privată.

Pi-hole are capacitatea de a bloca reclame tradiționale pe site-uri web, precum și reclame în locuri neconvenționale, cum ar fi televizoare inteligente și reclame de sisteme de operare mobile – Wikipedia

Puteți citi mai multe aici sau aflați mai multe despre site oficial.

Fac clic pe Autentificare butonul din bara laterală stângă și mi se prezintă un ecran de conectare. O căutare rapidă pe Internet și pot presupune că ținta este o mașină Raspberry Pi și cel mai probabil rulează Raspbian (Sistemul de operare al Raspberry Pi).

De asemenea, am aflat că numele de utilizator implicit ar trebui să fie „pi” cu parola „zmeură”. Încerc parola implicită pe acest ecran de conectare, dar nu pare să funcționeze. Trebuie să găsim o altă cale.

Pasul 3 – Conectarea la gaura Pi prin SSH

În timpul fazei de recunoaștere, am aflat că portul 22 era deschis.

eu folosesc Medusa pentru a verifica dacă acreditările implicite funcționează cu ssh. Medusa este un instrument de conectare rapid, paralel și modular. Puteți găsi mai multe informații aici pe acest instrument.

medusa -h 10.10.10.48 -u pi -p raspberry -M ssh

Să ne conectăm acum folosind SSH cu următoarea comandă, deoarece tocmai am validat că parola funcționează:

ssh pi@10.10.10.48

Pentru a vă conecta cu SSH, aveți nevoie de numele de utilizator și de adresa IP a gazdei. În cazul nostru, acesta ar fi „pi” pentru numele de utilizator și „10.10.10.48” pentru adresa IP. Parola este „zmeură”.

Primesc o sesiune ca:

pi@raspberrypi

Odată conectat ca utilizator, pot verifica dacă utilizatorul aparține sau nu grupului sudo folosind fie id sau grupuri comenzi:

Utilizatorul aparține grupului rădăcină.

Pasul 4 – Căutați steagul user.txt

Listez toate fișierele / folderele cu următoarea comandă:

ls -la

Mă mut apoi la Desktop cu

cd Desktop

Și găsesc steagul utilizatorului! Pot verifica conținutul fișierului cu

cat user.txt

Pasul 5 – Căutați steagul root.txt

Să găsim steagul rădăcină acum. Navig până la / pliant. Puteți verifica unde vă aflați cu comanda

pwd

care ne oferă directorul de lucru tipărit. Mă mut apoi la /rădăcină dosar, dar accesul este refuzat.

Trebuie să trec la utilizatorul root pentru a accesa acest folder. Folosesc comanda

sudo -l

pentru a înțelege ce comandă pot executa pe localhost.

Utilizatorul root are privilegii nelimitate și poate rula orice comandă pe sistem și știm că utilizatorul pi face parte din grupul rădăcină.

Folosesc comanda

sudo su

sudo comanda vă permite să rulați programe ca alt utilizator. În mod implicit, utilizatorul root. su înseamnă schimbarea utilizatorului.

Acum pot naviga la rădăcină pliant. Găsesc fișierul root.txt și verific conținutul acestuia cu

cat root.txt

Din păcate pentru noi, nu a fost lăsat în schimb un steag, ci un mesaj.

I lost my original root.txt! I think I may have a backup on my USB stick...

Acum trebuie să găsesc unde se află USB-ul cu comanda

lsblk

pentru a lista dispozitivele de stocare cu bloc USB. Văd că există una usbstick în /mass-media pliant:

Navig în acest folder și găsesc un alt mesaj de la un utilizator numit James.

Damnit! Sorry man I accidentally deleted your files off the USB stick.
Do you know if there is any way to get them back?

-James

Când am enumerat toate dispozitivele de stocare, am văzut că butonul USB era localizat la sdb, care este sub / dev / sdb /. Mai multe informatii aici pe discuri și partiționare.

Dacă folosim următoarea comandă:

cat /dev/sdb

Vom avea o ieșire lungă, cu o mulțime de personaje ciudate. La sfârșitul acestei intrări ar trebui să găsiți fișierul rădăcină steag.

O modalitate mai elegantă de a vedea textul dintr-un fișier binar sau de date este utilizarea comenzii siruri de caractere. Această comandă trage acele bucăți de text – numite „șiruri”.

strings /dev/sdb

Felicitări! Ai găsit ambele steaguri.

Remediile

• Puteți citi mai multe despre atacul botnet Mirai DDoS aici
• Nu utilizați parole implicite / generice
• Dezactivați accesul la distanță la dispozitivele dvs. atunci când nu este necesar

Vă rugăm să nu ezitați să comentați, să puneți întrebări sau să partajați cu prietenii dvs. 🙂

Puteți vedea mai multe articole din serie Păstrați-vă calmul și hack the Box aici.

Poți să mă urmărești mai departe Stare de nervozitate sau pe LinkedIn.

Și nu uitați săGetSecure, #Fii sigur & #StaySecure!