Đào Tạo CEH – CHFI – ECSA – CPENT – LPT – PENTEST+ CySA+ SECURITY +

CertMaster Đông Dương

,
Chưa có bình luận trong CEHack pWnOS: 2.0 (Boot 2 Root Challenge OSCP Like Lab)

CEHack pWnOS: 2.0 (Boot 2 Root Challenge OSCP Like Lab)

CEHack pWnOS: 2.0 (Boot 2 Root Challenge OSCP Like Lab)

Xin chào các bạn!! Hôm nay chúng ta sẽ giải quyết một thử thách CTF thú vị có tên “pWnOS: 2.0” , một CTF được đề xuất cho các bạn ôn luyện thi các chứng chỉ ehacking hay pentesting thực hành như OSCPCEH Master, CPENT, LPT được trình bày trên Vulnhub để thực hành Kiểm tra thâm nhập bằng pWnOS. Máy ảo này đang gặp khó khăn từ trung cấp đến trung bình. Bạn có thể tải xuống Phòng thí nghiệm từ đây .

Cấu hình ban đầu của Lab:

Định cấu hình nền tảng tấn công của bạn nằm trong phạm vi mạng 10.10.10.0/24.

Chúng tôi đặt Bộ điều hợp mạng của VMWare thành Chỉ lưu trữ nhưng có thể đặt nó thành NAT hoặc Chỉ lưu trữ tùy thuộc vào thiết lập của bạn.

Mục tiêu: Nhận Root Shell.

Các công cụ và hướng Pentest

  • Network Scanning (Nmap, netdiscover)
  • Directory busting the server
  • Getting Login Credentials (Metasploit)
  • Upload PHP reverse shell
  • Get Limited Shell
  • Enumerate Root Credentials
  • Get Root

Hãy bắt đầu tấn công !!!

Thông thường, chúng ta sẽ bắt đầu bằng cách lấy Địa chỉ IP của Virtual-Labs. Trong trường hợp này, chúng tôi đã biết địa chỉ IP tĩnh của Phòng thí nghiệm, nhưng cứ thử netdiscover xem sao.

netdiscover

Bây giờ, hãy chuyển sang liệt kê theo ngữ cảnh để xác định các dịch vụ đang chạy và các cổng mở của máy nạn nhân bằng cách sử dụng công cụ phổ biến nhất Nmap.

nmap -A 10.10.10.100

Thấy cổng 80 đang mở trong mạng của victim, tôi muốn khám phá IP của trong trình duyệt hơn. Có vẻ như đây là một trang web cơ bản có biểu mẫu đăng nhập và biểu mẫu Đăng ký.

… hãy thử chạy Trình quét nội dung web (dirb) và tìm thấy thư mục blog.

dirb http://10.10.10.100/

Sau khi tìm thấy thư mục blog, tôi thử mở thư mục blog trên trình duyệt, nó đưa ra một trang web khác trông đơn giản, thoạt nhìn có vẻ không thú vị nhưng như chúng ta biết rằng tác giả của những phòng thí nghiệm này thường thích ẩn mình. Vì vậy, tôi đã mở mã nguồn của Trang web.

Và khi tôi kiểm tra kỹ mã nguồn, tôi bắt gặp dòng hiển thị trong ảnh chụp màn hình, đây là một gợi ý quan trọng vì nó cho chúng tôi biết rằng Trang web chạy trên Simple PHP Blog và Phiên bản 0.4.0.

Simple PHP Blog còn được gọi là ‘sphpblog’. Vì vậy, tôi đã tìm kiếm bất kỳ cách khai thác nào có thể có đối với sphpblog trong khuôn khổ Metasploit. Tôi tìm thấy một loạt và thử exploit/unix/webapp/sphpblog_file_upload.

Trong Metasploit Shell, tôi đã chạy lệnh sau để khai thác:

use exploit/unix/webapp/sphpblog_file_upload
msf exploit(sphpblog_file_upload) > set rhost 10.10.10.100
msf exploit(sphpblog_file_upload) > set uri /blog
msf exploit(sphpblog_file_upload) > exploit

Khai thác này không cung cấp cho chúng tôi và bất kỳ trình bao nào, nhưng nó tạo ra Thông tin đăng nhập như trong Ảnh chụp màn hình.

Hãy sử dụng các thông tin đăng nhập này để Đăng nhập.

Username: WJx2Fp
Password: PiRpoM

(Bạn sẽ nhận được một bộ Thông tin xác thực đăng nhập khác do Khai thác tạo ra ngẫu nhiên.)

Đăng nhập đã cho chúng tôi một số tùy chọn bổ sung trong Menu. Trong số đó, Tùy chọn Tải lên Hình ảnh (Upload Image) đã thu hút sự chú ý của tôi.

Tùy chọn tải lên hình ảnh sẽ mở ra một trang web Tải lên đơn giản. Hãy thử tải lên tệp php-reverse-shell. php được tích hợp sẵn trong Kali Linux từ đường dẫn : /user/share/webshells/php . Mặc dù việc tải lên các tệp PHP có thể sẽ không được phép.

Và ta đã tải trực tiếp php-reverse-shell lên thành công. Điều này thật tuyệt (nếu không được thì thử tìm cách bypass).

hãy duyệt đến vị trí của tệp PHP đã tải lên là 10.10.10.100/blog/images. (Chúng ta đã tìm thấy vị trí này trong lần quét dirb ban đầu)

Bây giờ, hãy mở tệp và dùng Netcat nghe trong một thiết bị đầu cuối mới để nhận kết nối ngược lại của nạn nhân.

nc-lvp 1234

Chúng ta có một lớp vỏ không phù hợp, hãy chuyển đổi nó thành một lớp vỏ phù hợp bằng cách sử dụng python.

python -c 'nhập pty;pty.spawn("/bin/bash")'

Bây giờ, duyệt Thư mục này sang Thư mục khác, tệp này sang tệp khác, tôi đã kết thúc ở thư mục /var và ở đây tôi tìm thấy một tệp PHP có tên mysqli_connect.

Khi mở tệp này bằng cat, tôi đã tìm thấy thông tin đăng nhập gốc.

cat mysqli_connect.php
Root Credentials
Username: root
Password: root@ISIntS

Bây giờ, hãy kết thúc virtual-labs này bằng cách lấy trình bao gốc, vì điều này, tôi sẽ sử dụng kết nối ssh đến phòng thí nghiệm được tạo bằng thông tin đăng nhập rot và như bạn có thể thấy trong ảnh chụp màn hình đã cho, chúng ta đã có trình bao gốc.

root ssh@10.10.10.100

Tác giả: Pavandeep Singh (HA)

Biên soạn và Demo CEH VIETNAM

Posted by:

CertMaster Đông Dương

Learn Everywhere with CertMaster

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

Gravatar
WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Hủy bỏ

Connecting to %s

%d người thích bài này: