Привет, Antichat! В этот раз я предлагаю рассмотреть методы решения, в рамках CTF, уязвимой VM Bulldog (Boot2Root Challenge)



Скачиваем Bulldog тут

Атакующая ОС: Kali Linux 2018.2

Импортируем и запускаем (при запуске, VM сообщает, какой адрес получила по DHCP) затем ищем, где запущен web сервер у VM:



Код:




Переходим на webBulldog:



Тут, ничего, заслуживающего внимания я не нашел, подключаем nikto для более подробного анализа сервера:

Код:




Niktoнашел интересную директорию, зайдем осмотреться:



Тут интересен вход в Web Shell, но он доступен аутентифицированным пользователям:



И список, тех, с кем можно на эту тему поговорить, этим мы заниматься не будем, а заглянем в исходный код страницы:



Отлично, это похоже на хэши паролей, проверим тип одного из этих хэшей:

Код:




Скорее всего, тип хэша SHA – 1. Приступим к его декодированию, для этого используем john с дефолтными настройками:

Код:




Имеем в наличии учётные данные пользователя Ник:

• nick
  
• bulldog

Используем их для аутентификации на сервере:

Код:




После успешной авторизации, можно перейти в Web Shell:

Код:




Шелл настроен таким образом, что выполняются только те команды, список которых нам предоставили. При осмотре были обнаружены интересные моменты, но мы пойдем несколько иным путём.

Итак, для выполнения имеем ограниченный список команд и подсказку, что команды выполняются непосредственно на сервере, от имени пользователя и скорее всего, это не Ник, а jango т.к. он там установлен.

Этих команд достаточно, да и одной вполне, чтобы сделать так…

• | - конвейер. Передает вывод предыдущей команды на ввод следующей или на вход командного интерпретатора shell. Этот метод часто используется для связывания последовательности команд в единую цепочку.

Конвейеры (еще их называют каналами) - это классический способ взаимодействия процессов, с помощью которого stdout одного процесса перенаправляется на stdin другого. Обычно используется совместно с командами вывода, такими как cat или echo, от которых поток данных поступает в "фильтр" (команда, которая на входе получает данные, преобразует их и обрабатывает).

Полагаю, что будет дальше понятно.

Если мы выполним команду:

Код:




Результат не радужный, но если сделаем:

Код:




Теперь, все отрабатывает должным образом.

Чтобы избавиться от этого шелла «курильщика» и обзавестись более функциональным, необходимо загрузить полезную нагрузку на сервер, думаю, wget вполне подойдет для этих целей.

Берем FatRat или Msfvenom для генерации полезной нагрузки в формате python(это обязательный момент, т.к. это Django)

Код:


Убеждаемся, что на атакующей машине поднят Apache, туда и копируем shell скрипт, чтобы потом, используя wget на Web Shell, загрузить его с нашего сервера и затем запустить, инициируя сессию meterpreter.



Настраиваем handler:



Этап загрузки shellскрипта:

Код:




Убеждаемся, что загрузка прошла успешно:

Код:




Даем права скрипту на запуск:

Код:


Запускаем скрипт:

Код:




Результат предсказуем:



Используем команду:

Код:


Затем импортируем bashоболочку:

Код:




Переходим в директорию /home/bulldogadmin и смотрим на ее содержимое:

Код:


Обнаружив скрытую директорию, переходим в нее:

Код:




Приложение, которое мы там обнаружили, позволит нам в дальнейшем получить root права в системе. Для начала можно посмотреть, что там внутри.

strings — unix-утилита, применяемая для поиска печатаемых строк в двоичных файлах. Она выводит последовательности печатаемых символов, обнаруженных в заданном файле. Может использоваться для визуального анализа дамп-файлов (core dump) или для отыскания информации о типе файла.

Код:




Выделенное мной, напоминает пароль, при запуске этого приложения оно запрашивает пароль пользователя, но мы попробуем этот в качестве универсального.

Для этого переходим в свою директорию, где мы можем запускать файлы, и это приложение в том числе:

Код:




Теперь, мы root, зайдем в свою домашнюю директорию и прочитаем файл:

Код:




На этом прохождение Bulldog VM можно считать завершенным.

Спасибо за внимание.