لقد قمنا بتغطية تحدي boot2root أثينا من TryHackMe. لقد قمنا بفحص الجهاز باستخدام Nmap واكتشفنا خادم SMB الذي استخرجنا منه ملاحظة توجهنا إلى دليل على خادم الويب حيث اكتشفنا وجود أداة ping قيد التشغيل. استخدمنا استبدال الأوامر لحقن غلاف ربط والهبوط في أول موطئ قدم. لقد اكتشفنا وجود برنامج نصي احتياطي يعمل بشكل دوري كمستخدم آخر. قمنا بتعديل البرنامج النصي لتنفيذ الصدفة العكسية وفتحنا جلسة أخرى كمستخدم أثينا. بعد التعداد، وجدنا أن المستخدم Athena يمكنه تحميل وحدات kernel كـ sudo باستخدام insmod دون الحاجة إلى كلمة مرور الجذر. قمنا بتنزيل الوحدة الأساسية "venom.ko" واستخدمنا Ghidra لإجراء هندسة عكسية للثنائي. اكتشفنا أنه برنامج rootkit وبعد تحليل الكود تمكنا من التفاعل مع الوحدة لاستدعاء وظيفة تعمل على تصعيد الامتيازات من Athena إلى Root.
نسخة الفيديو
أول شيء نقوم به طوال الوقت هو فحص Nmap كما ترون هنا. لقد قمت بتعطيل اختبار ping على الجهاز لأنه في بعض الأحيان لا يستجيب الجهاز لطلبات ping أو في بعض الأحيان يكون هناك حظر لمرشحات ping. يمكننا أن نرى أن لدينا منفذين مفتوحين 22 و80. إذن هذه هي الصفحة الرئيسية، كل شيء مجرد قراءات وتذهب إلى أنه لا يوجد شيء هنا. صفحة الاتصال نفسها. إذا حاولت استخدام بحث الدليل باستخدام gobuster أو dirbuster ولن تجد أي شيء ذي أهمية. لذلك نتوجه إلى. خادم SMB خادم مشاركة ملفات يستخدم SMB لذلك نتفاعل مع المشاركة باستخدام هذا الأمر.
من الواضح أنه يمكننا تسجيل الدخول بدون كلمة مرور. أدخل بدون كلمة مرور أو فارغة وستتمكن من تسجيل الدخول كمستخدم مجهول.
نرى سهمين العامة وIPC. ومن الواضح أن الشخص المهتم للغاية هو حصة الجمهور. ونحن نقدم اسم المشاركة. نحن نقدم كلمة مرور فارغة ونقوم بتسجيل الدخول إلى المشاركة بنجاح.
من الواضح أنه يمكننا تسجيل الدخول بدون كلمة مرور. أدخل بدون كلمة مرور أو فارغة وستتمكن من تسجيل الدخول كمستخدم مجهول.
نرى سهمين العامة وIPC. ومن الواضح أن الشخص المهتم للغاية هو حصة الجمهور. ونحن نقدم اسم المشاركة. نحن نقدم كلمة مرور فارغة ونقوم بتسجيل الدخول إلى المشاركة بنجاح.
لذا، بمجرد تسجيل الدخول، تتغير التغييرات من موجه الجهاز أو موجه الجهاز الخاص بي إلى خادم SMB، لأنني قمت الآن بتسجيل الدخول إلى الخادم. يمكنني الآن التفاعل مع خادم SMB. لذلك أستخدم LS لسرد الملفات. ويمكننا أن نرى. ملف نصي واحد نقوم باسترجاع الملف النصي باستخدام الأمر get متبوعًا بالتعريف. لذلك نعرض محتويات الملف.
وهذه هي المذكرة هنا المسؤول.
وهذه هي المذكرة هنا المسؤول.
أود أن أبلغكم أنه يجري تطوير نظام ping جديد وتركت التطبيق المقابل.
في مسار محدد، والذي يمكن الوصول إليه من خلال العنوان التالي.
وهذا ما تراه عندما تأخذ هذا العنوان وتصل إليه من خلال المتصفح. هذه أداة ping بسيطة. لم يتم تنفيذ أمر ping باستخدام سطر الأوامر باستخدام التطبيقات، لذلك دعنا نذهب هنا ونتفاعل معه. إذن واحد إلى سبعة صفر صفر واحد. والآن يقوم بأداء The Ping.
إذا عدت. وجرب بعض أساليب حقن الأوامر مثل تسلسل الأوامر بحيث يرسل محللو الفاصلة المنقوطة ويتم حظر محاولة القرصنة، لذا هنا
يبدو أن الحرف قد تمت تصفيته إذا حاولنا استخدام علامة العطف وأرسلنا مرة أخرى محاولة القرصنة، لذلك يكون هناك مرشح.
إذا عدت. وجرب بعض أساليب حقن الأوامر مثل تسلسل الأوامر بحيث يرسل محللو الفاصلة المنقوطة ويتم حظر محاولة القرصنة، لذا هنا
يبدو أن الحرف قد تمت تصفيته إذا حاولنا استخدام علامة العطف وأرسلنا مرة أخرى محاولة القرصنة، لذلك يكون هناك مرشح.
وهذا يستبعد جميع الأحرف المحظورة المستخدمة في حقن الأوامر أو حتى الأصداف العكسية. لذا، إذا تمت تصفية هذه الأحرف، فهذا يعني أنه لا يمكن استخدام الأصداف العكسية.
ما الحل هنا؟ الحل هو استخدام استبدال الأوامر. لقد شرحت الاستبدال الشائع في الفيديوهات السابقة يا شباب. يمكنك العودة إليهم على وجه التحديد بهذا الفيديو.
تجاوز مرشحات SQL باستخدام استبدال الأوامر
وكانت مظاهرة على ألعاب overthewire CTF Natas المستوى 16. حسنًا، سنستخدم استبدال الأوامر هنا.
كما ترون ما فعلته. لقد استخدمت عنوان IP. هذا هو الإدخال الذي يتوقعه التطبيق من IP إلى Ping. هذا هو السبب لأن -C1 خيار. يمكننا استخدامه في أمر ping. لذلك نرسل هنا حزمة واحدة ويبدأ استبدال التعليق. لذا فإن استبدال الفاصلة يبدأ بعلامة $ وبين قوسين، نوفره في الأمر الذي نرغب في تنفيذه نظرًا لأن الأحرف مثل علامة العطف والأنبوب والفاصلة المنقوطة محظورة أو مفلترة، فنحن بحاجة إلى استخدام شيء مختلف.
ما الحل هنا؟ الحل هو استخدام استبدال الأوامر. لقد شرحت الاستبدال الشائع في الفيديوهات السابقة يا شباب. يمكنك العودة إليهم على وجه التحديد بهذا الفيديو.
تجاوز مرشحات SQL باستخدام استبدال الأوامر
وكانت مظاهرة على ألعاب overthewire CTF Natas المستوى 16. حسنًا، سنستخدم استبدال الأوامر هنا.
كما ترون ما فعلته. لقد استخدمت عنوان IP. هذا هو الإدخال الذي يتوقعه التطبيق من IP إلى Ping. هذا هو السبب لأن -C1 خيار. يمكننا استخدامه في أمر ping. لذلك نرسل هنا حزمة واحدة ويبدأ استبدال التعليق. لذا فإن استبدال الفاصلة يبدأ بعلامة $ وبين قوسين، نوفره في الأمر الذي نرغب في تنفيذه نظرًا لأن الأحرف مثل علامة العطف والأنبوب والفاصلة المنقوطة محظورة أو مفلترة، فنحن بحاجة إلى استخدام شيء مختلف.
نحن نستخدم غلاف ربط، ويكون غلاف الربط في الاتجاه المعاكس هو عكس الغلاف العكسي. نجعل العميل أو نجعل الآلة تتصل بنا مرة أخرى.
في Bind Shell، نتصل بالجهاز مما يعني أن الجهاز الآن سيعمل دور المستمع. إذن NC – LP أربعة خمسة أربعة خمسة المنفذ وأريد أن يستمع الجهاز إليه وبمجرد استلام الاتصال. سأقوم بتنفيذ /bin/bash. لذلك نحن نفعل هذا كما ترون الآن وهو يدور مما يشير إلى أن المستمع يعمل الآن، لذا انتقل إلى الجهاز الخاص بي، وهذا هو غلاف الجهاز.
وكما ترون يا رفاق، فأنا أتواصل مع الجهاز باستخدام هذا الأمر. هذه هي الطريقة التي يعمل بها Bind Shell.
في Bind Shell، نتصل بالجهاز مما يعني أن الجهاز الآن سيعمل دور المستمع. إذن NC – LP أربعة خمسة أربعة خمسة المنفذ وأريد أن يستمع الجهاز إليه وبمجرد استلام الاتصال. سأقوم بتنفيذ /bin/bash. لذلك نحن نفعل هذا كما ترون الآن وهو يدور مما يشير إلى أن المستمع يعمل الآن، لذا انتقل إلى الجهاز الخاص بي، وهذا هو غلاف الجهاز.
وكما ترون يا رفاق، فأنا أتواصل مع الجهاز باستخدام هذا الأمر. هذه هي الطريقة التي يعمل بها Bind Shell.
وكما ترون يا رفاق، أنا قادر على الاتصال والتثبيت في أول وضع، لذلك أنا wwdata، وهو مستخدم خادم الويب Apache. لقد قمت بتحميل pspy64 لسرد العمليات الحالية ووظائف cronjobs.
نلاحظ وجود نمط مع برنامج نصي احتياطي. إذن هناك برنامج نصي احتياطي يعمل على فترات منتظمة بواسطة المستخدم UID 1001.
إذن Athena هي المستخدم الذي يكون معرف المستخدم الخاص به هو 1001. وهذا يعني أن البرنامج النصي يتم تشغيله بشكل دوري بواسطة المستخدم Athena. ننتقل إلى الدليل الذي يخزن النسخة الاحتياطية لمشاركة مستخدم البرنامج النصي.
بالإضافة إلى -la مشاركة المستخدم للنسخ الاحتياطي وهنا نرى البرنامج النصي للنسخ الاحتياطي. من المثير للدهشة أن المستخدم الحالي www-data هو مالك البرنامج النصي مما يعني أنه يمكننا تعديل البرنامج النصي. ما هو الغرض من التعديل على البرنامج النصي نظرًا لأن هذا البرنامج النصي يتم تشغيله بشكل منتظم من قبل هؤلاء هم Athena وبما أننا لا نزال نمتلك بيانات www للمستخدم منخفض الامتيازات، فإننا نرغب في نقل الامتيازات إلى أعلى مما يعني أننا نريد الانتقال من www - البيانات إلى أثينا.
نلاحظ وجود نمط مع برنامج نصي احتياطي. إذن هناك برنامج نصي احتياطي يعمل على فترات منتظمة بواسطة المستخدم UID 1001.
إذن Athena هي المستخدم الذي يكون معرف المستخدم الخاص به هو 1001. وهذا يعني أن البرنامج النصي يتم تشغيله بشكل دوري بواسطة المستخدم Athena. ننتقل إلى الدليل الذي يخزن النسخة الاحتياطية لمشاركة مستخدم البرنامج النصي.
بالإضافة إلى -la مشاركة المستخدم للنسخ الاحتياطي وهنا نرى البرنامج النصي للنسخ الاحتياطي. من المثير للدهشة أن المستخدم الحالي www-data هو مالك البرنامج النصي مما يعني أنه يمكننا تعديل البرنامج النصي. ما هو الغرض من التعديل على البرنامج النصي نظرًا لأن هذا البرنامج النصي يتم تشغيله بشكل منتظم من قبل هؤلاء هم Athena وبما أننا لا نزال نمتلك بيانات www للمستخدم منخفض الامتيازات، فإننا نرغب في نقل الامتيازات إلى أعلى مما يعني أننا نريد الانتقال من www - البيانات إلى أثينا.
منذ البرنامج النصي يعمل باسم أثينا. هذا يعني أنه إذا تمكنا من تعديل محتويات البرنامج النصي ووضع غلاف عكسي عند تشغيل البرنامج النصي مرة أخرى. سيتم تنفيذ الصدفة العكسية. يمكن للمستخدم Athena تشغيل أمر insmod كـ sudo دون الحاجة إلى توفير كلمة مرور الجذر، لذلك قمنا بتنزيل الوحدة venom.ko على جهازي لإجراء الهندسة العكسية باستخدام Ghidra.
يمكننا أن نرى أولاً الوظائف ولدينا تهيئة الديامورفين. الديامورفين هو الجذور الخفية. كيف نعرف أن هذا هو برنامج rootkit الذي نستخدمه في Google
إذن هذه هي الصفحة الرئيسية لـ ديامورفين. وفقًا للوصف، فهو عبارة عن برنامج rootkit LKM لـ Linux Kernels. وإليك تعليمات كيفية تثبيته وفتحه كما ترون هنا يبدأ النموذج بشكل غير مرئي. لإزالته تحتاج إلى جعله مرئيًا.
هذه هي فكرة برنامج rootkit الذي يعد برنامجًا ضارًا أو برنامجًا ضارًا يخفي نفسه من العمليات أو الوحدات النمطية. لذا، حتى إذا قمت بتعداد العمليات أو حاولنا العثور على الوحدات قيد التشغيل الحالية، فلن يظهر برنامج rootkit. حسنًا، لأنه برنامج rootkit. وتستخدم الجذور الخفية عملية التجويف والحقن للاختباء من أعين المحققين. لذا فإن هذا الأمر مهم جدًا لأنه سيكشف عن الوحدة.
إذن هذه هي الصفحة الرئيسية لـ ديامورفين. وفقًا للوصف، فهو عبارة عن برنامج rootkit LKM لـ Linux Kernels. وإليك تعليمات كيفية تثبيته وفتحه كما ترون هنا يبدأ النموذج بشكل غير مرئي. لإزالته تحتاج إلى جعله مرئيًا.
هذه هي فكرة برنامج rootkit الذي يعد برنامجًا ضارًا أو برنامجًا ضارًا يخفي نفسه من العمليات أو الوحدات النمطية. لذا، حتى إذا قمت بتعداد العمليات أو حاولنا العثور على الوحدات قيد التشغيل الحالية، فلن يظهر برنامج rootkit. حسنًا، لأنه برنامج rootkit. وتستخدم الجذور الخفية عملية التجويف والحقن للاختباء من أعين المحققين. لذا فإن هذا الأمر مهم جدًا لأنه سيكشف عن الوحدة.
قتل -63 0
وبالمثل، وفقًا للكود والوظيفة hacked_kill و Give_root، نحتاج إلى تنفيذ الأمر أدناه لتصعيد الامتيازات
قتل -75 0
إجابات الغرفة
ما هو علم المستخدم؟
ما هو العلم الجذر؟
تجول الفيديو
عرض التعليقات
