TryHackMe: Гид по кибербезопасности | Разборы задач

Описание Думаете, у вас хватит ума перехитрить команду Hack Smarter Security? Они утверждают, что непобедимы, и теперь у вас есть шанс доказать им обратное. Проникните на их веб-сервер, найдите скрытые флаги и покажите миру свои элитные хакерские навыки. Удачи, и пусть победит лучший хакер! Но будьте осторожны, это будет нелегко. Hack Smarter Security укрепили сервер от распространенных атак, а их политика паролей требует использования паролей, которые не были взломаны (они проверяют их по списку слов rockyou...

1. Как всегда начинаю с nmap 2. Вижу, что открыт 21 порт ftp с доступом Anonymous без пароля и доступен файл update.txt, так же открыт 22 порт и порт80. Сначало смотрю что на 80 порту 3. Двигаясь по ссылкам сайта попал на страницу регистрации, кредов пока нет, попробовал стандартные команды sql и xss ничего не получилось, поэтому решил посотреть что в файле доступном в ftp 4. В файле, скачанном по ftp содержится следующая информация: Привет, я только что удалил старого пользователя Mike, потому что его учётная запись была скомпрометирована...

1. Сканирование nmap показало открытые порты 22 и 80 2. Перехожу на 80 порт и смотрю что там 3. Вижу какой то шифр на страницу сайта, используя https://www.dcode.fr/en пытаюсь декодировать содержимое сайта 4. Декодер определил эту кодировку как Brainfuck и раскодировав содержимое на странице сайта я увидел, что это функции написанные на питоне и закодированные этим кодировщиком. Я решаю попробовать написать на питоне команду использования команды ls -la, для этого использую онлайн кодировщик https://copy...

1. В условие задачи сказано, что это IDOR уязвимость iDOR (Insecure Direct Object Reference) — это уязвимость контроля доступа, которая возникает, когда приложение предоставляет прямой доступ к объектам (файлам, данным, записям) на основе пользовательского ввода без должной проверки прав. Простым языком: Представьте, что у каждого документа в системе есть номер (ID). Если вы можете просто подставлять разные номера в URL (например, site.com/docs/123) и получать доступ к чужим документам — это iDOR...

1. Сканирование nmap 2. Смотрю что есть на порту 8080 3. Версия Tomcat 9.0.30, я поискал уязвимости для этой версии, но айти ничего не смог 4. Вижу что на порту 8009 находится ajp13 пробую найти уязвимости для него 5. Вижу что есть CVE-2020-1938, смотрю ее описание CVE-2020-1938 — это уязвимость чтения/включения файлов в соединителе AJP в Apache Tomcat. Она включена с портом конфигурации по умолчанию 8009. Удаленный злоумышленник, не прошедший аутентификацию, может воспользоваться этой уязвимостью для чтения файлов веб-приложения с уязвимого сервера...

1. Сканирование nmap 2. Смотрю что на 80 порту 3. Ищу директории 4. Фазинг ничего не дал, внимательнее смотрю сайт и вижу, что пост выложен от пользователя meliodas осталось найти пароль 5. Смотрю доступен ли robots.txt 6. Подсказка намекает, что необходимо использовать rockyou. Зная имя пользователя решил попытаться подключиться по ssh, в качестве пароля используя словарь rockyou.txt 7. Пробую подключиться по ssh 8. В домашней директории читаю первый флаг 9...

1. Как всегда наччинается все с разведки, поэтому сканирую nmap 2. По результатам сканирования становится понятно, что есть контроллер доменов, так же я вижу имя хоста и домена SOUPEDECODE.LOCAL и DC01.SOUPEDECODE.LOCAL 3. Сразу вношу изменения в файл /etc/hosts 4. Используя утилиту nxc ищу общие ресурсы SMB и обнаруживаю, что вход в систему разрешен в качестве гостя и предоставлено право на чтение общего ресурса IPC$. 5. Используя доступ к общему ресурсу IPC$, я могу выполнить атаку методом подбора RID с помощью nxc для перечисления пользователей домена...

1. В условии к машине сказано, что адрес машины необходимо добавить в файл /etc/hosts поэтому получив ай пи это и делаю 2. Так же в описании сказано, что задача связана с поиском субдоменов, добавить все субдомены из словаря в файл /etc/hosts практически невозможно, поэтому предполагаю, что подсказка есть в условии задачи. В описании к задаче сказано, что ранее на сайте была поддержка, поэтому в файл /etc/hosts пробую добавить субдомен support 3...

1. Разведка nmap 2. Вижу открытые 22, 80 и 445 порты, смотрю что на 80 и 445 портах 3. На обоих портах стартовая страница апач, ищу скрытые директории, начал с 80 порта 4. Проверяю что находится в /admin 5. Очень похоже на base64, расшифровываю 6. Сообщение типа все не так просто иди нафиг.... Смортрю в директории /shadow 7. Проверяю последнюю найденную директорию на порту 80 /passwd, там то же самое сообщение, что и /shadow 8. Теперь ищу директории на порту 445 9. Смотрю что в директории /management 10...

1. Разведка nmap 2. Смотрю что есть на 80 порту 3. Открыт порт 21 по ftp с логином Anonymous без пароля, пробую подключиться и посмотреть что там. 4. С помощью get скачиваю себе файлы из этой директории и смотрю что в них 5. Ищу скрытые директории 6. Смотрю что находится в этой директории и вижу то же, что видел при подключении по ftp 7. Решил попробовать с помощью утилиты ftp-upload загрузить файл 8. Файл успешно загрузился в папку /ftp, поэтому создаю реверс шелл, с помощью msfvenom 9. Загружаю его и проверяю загрузился ли 10...

1. Сканирование nmap 2. Открыт порт 80 смотрю что на нем 3. Стартовая страница апача, значит ищу директории, использую ffuf, так как мне он больше нравится 4. Найдена директория /content, смотрю что на ней 5. На ней распологается страница сайта, ище дальше в этой директории 6. Найдено 6 директорий, из интересного в директории /as находится форма регистрации, но ни логина ни пароля пока что я не знаю 7. В директории /inc находится много файлов и папок, содержимое которых я начал просматривать и в папке /mysql_backup нашел интересный файл mysql_bakup_20191129023059-1...

1. В описании к задаче сказано, что это уязвимость LFI, поэтому получив ай пи адрес сразу перехожу на страницу веб ресурса 2. На странице есть 5 активных ссылок, пробую их нажимать и в адресной строке вижу что они сделаны по типу ?page=chill.php 3. Значит именно туда и будем пытаться сделать LFI, для начала пытаюсь прочитать содержимое /etc/passwd, так как этот файл всегда доступен для чтения в линукс системах. Для этого вставляю конструкцию типа /...