📝 📢 🍕 HackTheBox. تجول Traverxec. RCE في خادم الويب nostromo ، تقنية GTFOBins 💼 😨 😂

أواصل نشر الحلول المرسلة للمعالجة الإضافية من موقع HackTheBox .

في هذه المقالة ، نحصل على RCE في خادم الويب nostromo ، ونحصل على قشرة العدادات من تحت جلسة metasploit النشطة ، ونحفر في تكوينات nostromo ، وقم بتعديل كلمة مرور تشفير مفتاح SSH ، ونستخدم تقنية GTFOBins لزيادة الامتيازات.

يتم الاتصال بالمختبر عبر VPN. من المستحسن عدم الاتصال من كمبيوتر العمل أو من مضيف حيث تتوفر البيانات المهمة بالنسبة لك ، حيث ينتهي بك الأمر على شبكة خاصة مع أشخاص يعرفون شيئًا في مجال أمن المعلومات :)

المعلومات التنظيمية

, , Telegram . , , .

. , - , .

ريكون

يحتوي هذا الجهاز على عنوان IP 10.10.10.165 ، والذي أضيفه إلى / etc / hosts.

10.10.10.165    traverxec.htb

أولاً ، نقوم بمسح المنافذ المفتوحة. نظرًا لأنه يستغرق وقتًا طويلاً لفحص جميع المنافذ باستخدام nmap ، سأفعل ذلك أولاً مع ماسكان. نقوم بمسح جميع منافذ TCP و UDP من واجهة tun0 بسرعة 1000 حزمة في الثانية.

masscan -e tun0 -p1-65535,U:1-65535 10.10.10.165 --rate=1000

الآن ، للحصول على معلومات أكثر تفصيلاً حول الخدمات التي تعمل على المنافذ ، سنقوم بإجراء مسح ضوئي باستخدام الخيار -A.

nmap -A traverxec.htb -p22,80

وبالتالي لدينا SSH وخادم الويب Nostromo.

دعنا نتحقق من خادم Nostromo للكشف عن الثغرات المعروفة للإصدار 1.9.6. لهذه الأغراض ، يمكنك استخدام searchsploit ، يوفر هذا البرنامج القدرة على العمل بشكل ملائم مع برمجيات إكسبلويت الموجودة في قاعدة بيانات إكسبلويت- db .

كما ترى من النتيجة ، فإن الثغرة الثانية لا تناسبنا ، والأول يحتوي على علامة Metasploit ، مما يشير إلى أن هذه الوحدة تم تنفيذها لسياق إطار Metasploit.

نقطة الدخول

قم بتنزيل msfconsole وقم بالبحث عن برمجية إكسبلويت.

نعرف الآن الاسم الكامل للثغرة ويمكننا استخدامه. بعد تحميل برمجية إكسبلويت ، سنراجع المعلومات المتعلقة بها. لذلك سنكتشف الخيارات الأساسية لاستخدامه ووصفًا لبرمجيات إكسبلويت نفسها.

غرامة! هذا الاستغلال مناسب لإصدارنا من nostromo. نقوم بتعيين الخيارات الأساسية والتحقق من تشغيل برمجية إكسبلويت.

للراحة ، نحصل على قذيفة متر. للقيام بذلك ، أرسل الجلسة للعمل في الخلفية - Ctrl + Z والتأكيد. وإذا نظرنا إلى جلسات العمل ، فسوف نرى الجلسة التي تم تصغيرها للتو.

للحصول على قشرة العداد في جلسة تشغيل ، يمكنك استخدام post / multi / management / shell_to_meterpreter. استخدم هذه الوحدة بسرعة كما يلي.

علمنا أن قذيفة العداد مفتوحة في الجلسة الثانية. لذلك ، نطلق الجلسة الثانية.

المستعمل

وأول شيء تحتاج إلى إلقاء نظرة على المضيف. للقيام بذلك ، قم بتحميل البرنامج النصي لتعداد Linux على الجهاز.

بعد ذلك ، اتصل بالصدفة ، واعطي الحق في تنفيذ وتشغيل البرنامج النصي.

عند تحليل الإخراج ، نجد تجزئة كلمة المرور من .htpasswd.

مزيد من التدوير حول مضيعة للوقت ... إدراك ذلك وعدم معرفة إلى أين تذهب أبعد من ذلك ، تقرر النظر في تكوينات خادم الويب. لحسن الحظ ، يشار إلى الدليل في المسار إلى هذا الملف.

بعد ذلك ، انظر إلى ملف nhttp.conf.

والحقيقة هي أن الدليل الجذر في nostromo محدد في ملف التكوين مثل homedirs_public. أي أن هذا هو دليل public_www. يقع هذا الدليل في دليل المنزل (homedirs - / home) للمستخدم (serveradmin - david@traverxec.htb). تلخيص ما سبق ، يقع ملف index.html في الدليل / home / david / public_www. لكي يتمكن المستخدمون من الوصول إلى هذه الصفحة ، يجب أن يكون الدليل لديه أذونات قراءة للجميع.

تم تأكيد التخمينات. بالإضافة إلى ذلك ، نرى نوعًا من الدليل ، فلنلق نظرة على ما هو موجود.

هناك نجد نسخة احتياطية من ملفات SSH. قم بتنزيلها.

قم بفك ضغط الملفات.

ولدينا مفتاح مستخدم خاص ، ولكن عند محاولة الاتصال ، يُطلب منا إدخال كلمة مرور. هذا يعني أن المفتاح مشفر.

ولكن يمكننا التمرير من خلاله. أولاً نأتي إلى التنسيق المطلوب.

احفظ التجزئة في ملف وانتقل عبر قاموس rockyou.txt باستخدام JohnTheRipper.

لذلك نجد كلمة مرور التشفير الرئيسية. باستخدامه ومفتاح ، نقوم بالاتصال عبر SSH.

جذر

نحن ننظر إلى ما لدينا في دليل المستخدم.

في دليل الحاوية نجد ملفًا مثيرًا للاهتمام. دعونا نرى ما هو نوع البرنامج النصي.

يطبع هذا البرنامج النصي الأسطر ثم ينفذ أمرًا من تحت sudo ، وينتج إخراجه إلى القط ، وهو أمر مثير للاهتمام للغاية. قم بتشغيل هذا الأمر وانظر إلى إخراج هائل إلى حد ما.

دفعتني إعادة التوجيه إلى القط على الفور إلى التفكير في استخدام تقنية GTFOBins. خلاصة القول هي أنه من أدوات النظام المساعدة المختلفة يمكننا الحصول على القدرة على القراءة وكتابة الملفات وتنفيذ الأوامر ، إلخ. يمكن العثور على مثال لكيفية القيام بذلك لبرامج مختلفة هنا .

والحقيقة هي أنه إذا ضغطنا على نافذة المحطة الطرفية ونفذنا الأمر دون ترجمة الإخراج إلى قطة ، فسيتم إرسال الإخراج تلقائيًا إلى أقل ، حيث يمكننا الحصول على الصدفة باستخدام! / Bin / sh. نظرًا لأنه يتم تنفيذ الأمر تحت sudo ، نحصل على shell بأقصى امتيازات.

حتى نحصل على المستخدم الجذر على النظام.

يمكنك الانضمام إلينا على Telegram . هناك يمكنك العثور على مواد مثيرة للاهتمام ، ودورات مدمجة ، بالإضافة إلى البرامج. دعونا نجمع مجتمعًا سيكون فيه أناس على دراية في العديد من مجالات تكنولوجيا المعلومات ، ثم يمكننا دائمًا مساعدة بعضنا البعض في أي قضايا تتعلق بتكنولوجيا المعلومات وأمن المعلومات.

HackTheBox. تجول Traverxec. RCE في خادم الويب nostromo ، تقنية GTFOBins

ريكون

نقطة الدخول

المستعمل

جذر

More articles: