Приветствую! Сегодня посмотрим несложную, но объёмную машинку Sunset: Nightfall
Сбор информации
Сканируем порты:
Воспользуемся инструментом enum4linux для получения информации о протоколе Samba.
Таким образом мы получаем двоих пользователей nightfall и matt.
Эксплуатация уязвимостей
Попробуем пробрутить данные учётки по известным сервисам, но подойдёт логин matt только к ftp.
Вот что можно увидеть внутри ftp:
Похоже на домашнюю директорию пользователя. Попробуем вложить туда ключ ssh и зайти как этот пользак.
Создадим директорию .ssh
Потом возвращаемся на свою Кали и создаём ключ ssh
Зальём публичный ключ на уязвимый хост
Заходим через ssh на пользователя matt
Повышение привилегий
Теперь необходимо повысить наши привилегии. Для этого воспользуемся LinEnum. Для этого запустим веб-сервер на Кали и зальём сценарий на уязвимую машинку.
Сценарий выдал нам список SUID-файлов, которыми мы воспользуемся для повышения привилегий.
Аналогично тому как мы делали с учёткой matt делаем и с nightfall. Также создаём .ssh и через наш веб-сервер можем забросить тот же ключ ssh.
При просмотре sudo -l видим только разрешение запускать cat от sudo.
Воспользуемся cat для просмотра /etc/shadow
Создадим отдельный файл hash на своей Кали и пробрутим хэш
Выводы
Мы уже как-то рассматривали схожий кейс, но на TryHackMe, где нужно было генерировать ключи для получения доступа к учёткам.
Расшаренная домашняя директория по FTP может быть только в духе CTF, однако на практике знаю, что неопытные админы могут неверно указать доступ к директории FTP и даже зашаришь корень системы. Имея же доступ к домашним директориям = получить доступ к учёткам. Эту формулу знали ещё древние римляне.
Кейс был интересный и несложный. Спасибо за внимание!