Démonstration du piratage de session et de l'augmentation des privilèges Linux | TryHackMe détourner

Que se passe-t-il les gars ? Bienvenue à toi cette vidéo ? Ils détournaient Troy Aikman, une machine récente publiée sur la plateforme. Maintenant, sur cette machine, nous allons passer en même temps en revue les tests d'intrusion de réplication. Nous allons faire une élévation de privilèges Linux afin de récupérer deux indicateurs, c'est un indicateur et il signalerait donc nous commençons par l'analyse nmap comme nous le faisons tout le temps et nous découvrons qu'il y en a 123 autour de 42.

Fife ouvre les ports FTP est H, nous avons un serveur Web en cours d'exécution. C'est seulement que nous avons un partage de fichiers Office exécuté sur la machine, ce qui signifie que cela pourrait être la prochaine machine et nous avons oui, ce n'est pas non plus un visage. On estime donc que cette machine exécute un système d'exploitation Linux.

Les prochaines étapes dépendront donc de ce que nous avons trouvé dans la boîte de réception afin que nous puissions continuer et découvrir le serveur Web. Nous voyons des invités bienvenus de ce côté en cours de développement. Ceci est la page de destination. Nous voyons ici quelques fonctions. Nous avons l'administration, à laquelle nous n'avons pas accès pour nous connecter et nous inscrire. Donc celui-ci est prêt pour un test test utilisateur test 123. Il y a un deux trois.

Et maintenant nous pouvons nous connecter.

Bon, nous n'avons toujours pas accès à la page d'administration. Très bien, c'est tout pour la page Web pour l'instant. Si vous retournez au terminal et que nous commençons un Go Buster, alors allez Buster. Voyons d'abord où se trouvent les listes de mots dans cette machine. Alors les outils, c'est parti pour les outils.

Et puis nous passons aux listes de mots.

Directeur d'Esther. D'accord, nous avons donc ces eaux ici. Alors allez vers Buster puis la chaussure donc on va y retourner.

Passez la commande ici. Ai-je supprimé l'index?

Et puis nous dirons que nous allons utiliser, voyons quelle liste de mots nous devrions utiliser ici. Donc Dash W. Nous allons utiliser du gros texte.

Très bien, nous allons donc laisser cela fonctionner pendant un moment. Et oui, c'est fini. Nous avons donc un directeur qui a découvert le statut Dash du serveur. Allons-y et trouvons ce que c'est. Donc, puisque nous sommes déjà enfermés, j'espère que cette page s'ouvrira.

Et nous n'avons pas la permission d'accéder à cette page.

D'accord, c'est tout pour le serveur Web, rien à faire pour l'instant, mais une chose à noter est que si nous cliquons sur inspecter et que nous vérifions les cookies ou le stockage et à partir d'ici. Nous allons copier ceci.

Comme vous pouvez le voir les gars, c'est une base64. Bon maintenant, une fois que nous avons décodé cela en texte brut, nous voyons qu'il est composé d'un nom d'utilisateur. C'est celui avec lequel nous nous sommes enregistrés et c'est un hachage md5 maintenant si nous allons dans une station-service et calculons. Et en effet les gars, c'est le hachage de cette maison qui correspond à un mot de passe en texte brut que nous avons déjà utilisé. Maintenant. Cela signifie que la formule pour créer le cookie est composée du nom d'utilisateur et du mot de passe hachés séparés par deux points et incluent la base64. Nous allons garder cela à l'esprit.

Maintenant, revenons en arrière et passons en revue le fichier d'interface Sheriff. Nous avons trouvé plus tôt. Alors CD Bugsy club le plus profond et montre Mount Dash e

récupère l'adresse IP

nous avons donc une part. Bien sûr. Nous allons devoir nous monter. Voyons ici dans mes notes la recherche de Mount.
Nous avons donc ceci.

Vashti et Fs. Et ce ne sont pas des actes. Alors allons-y et tapons-le ou d'abord. Créons un répertoire monté. Et puis nous allons dire Mount St. Et le premier partage 2399

il y a un répertoire spécifié dans lequel nous allons recevoir les montages, qui est monté. Donc LS donc nous avons une monture. Monté ici et allez le monter.

Et autorisation refusée. Voyons pourquoi les autorisations utilisateur sont ainsi montées. La correspondance correspond à un utilisateur dont l'ID est 1003 et le groupe est un ID de groupe est 1003 maintenant l'utilisateur root avec lequel nous sommes verrouillés. Il n'a pas ces idées. La solution à ce problème consiste donc à créer un utilisateur avec l'ID 1003 et le GID 1003. Allons-y, utilisateur. Il y a un tiret. Je veux en faire trois et ensuite dire que c'est bonjour Dirk.

On dirait que vous avez un problème fiscal. Nous voulons donc spécifier l'uid. C'est une chaussure ? J'ai un problème fiscal. Nous voulons donc spécifier l'uid. C'est une chaussure ?

D'accord, c'est ce que nous avons fait. Oh, nous avons utilisé un timide très réservé et une chaussure 1300. D'accord, mot de passe Isaac. Nous créons un mot de passe pour l'utilisateur. Alors laissez le mot de passe être le même que le nom d'utilisateur. Et maintenant, nous avons créé l'utilisateur. Donc, Sue est Jack, puis le CD LS est monté et nous avons réussi à naviguer vers le répertoire. Commençons le relais. Nous avons donc une note ici pour les employés, obtenez un texte pour les employés et vous pouvez goûter le nom d'utilisateur et le mot de passe du serveur FTP. Alors nous allons continuer et nous connecter avec ceci, alors sortez. puis FTP Utilisateur SFTP au Nom ou aux serveurs inconnus ?

Essayons ça. Utilisateur FTP, le mot de passe ne fonctionne pas. Copions cela à nouveau.
avant
ok, nous avons enfermé au moins un chalet et nous avons la liste des mots de passe de ces fichiers et de l'administrateur. Téléchargeons ces fichiers et récupérons le texte de l'administrateur.
et obtenez des mots de passe
texte de la liste de soulignement
D'accord. Maintenant, nous avons ces cinq gars. Je pense qu'ils sont sous-recherchés.
D'accord. Ouais, ce sont les fichiers que nous venons de télécharger. Allons-y et jetons un œil à la note. Ok de la part de l'administrateur.
Donc, tous les employés, c'est l'administrateur qui parle. J'ai dressé une liste sécurisée de mots de passe que vous pouvez tous utiliser sur le site. Ces mots de passe n'apparaissent sur aucune liste de mots que j'ai testée jusqu'à présent. Je vous encourage donc à les utiliser. Même moi. J'utilise une de ces notes pour Rick. Il s'agit d'un utilisateur que nous avons découvert en faisant du bon travail ou en limitant les tentatives de connexion. Cela fonctionne à merveille, cela empêchera tout futur forçage brutal. Ce nœud signifie donc que nous ne pouvons pas utiliser la force brute pour accéder à l'utilisateur administrateur.
Le serveur Web que nous venons de découvrir et il y a une autre note.
Qu'il y ait soit un nom d'utilisateur nommé Rick.
Très bien, jetons un œil aux mots de passe.
D'accord, donc si nous créons un script python pour passer en revue tout cela.
Effectuez le décodage et le hachage nécessaires et peut-être pourrons-nous alors trouver le mot de passe administrateur ou le cookie administrateur, rappelez-vous que le cookie est ici.
Le cookie d'origine a été codé en base64.
D'accord.
Nous allons donc supposer que si nous créons un script Python qui couvre tout cela. D'accord, effectuez l'encodage et le hachage pourra découvrir le nom d'utilisateur administrateur. L'administrateur dispose du cookie et du mot de passe administrateur après avoir bien sûr effectué un hachage E5 sur le mot de passe.
Alors Ellis, nom de la session ?
donc dans le script ici, la première chose que nous définissons est l'huile qu'ils voulaient que nous voulons tester est l'URL qui pointe vers la page d'administration et le script principalement, la première chose qu'il fait, il parcourra la liste des mots de passe. Alors la liste que nous venons de télécharger depuis le serveur FTP, n'est-ce pas ? Cette liste contient donc les mots de passe, mais nous ne savons pas lequel est le bon. Alors que faire, nous devons

J'échange avec chacun de ces mots de passe. C'est la première chose ici et c'est pourquoi nous utilisons la variable data pour stocker ces mots de passe, puis nous les parcourons chacun d'entre eux et nous les stockons dans la ligne variable. La première chose que nous faisons est d’effectuer la somme de contrôle md5 sur le mot de passe.
Parce que c'est la formule à retenir et nous pouvons ensuite calculer la somme de contrôle mt5 avec le nom d'utilisateur. Administrateur.
D'accord, après avoir obtenu le mot de passe et le nom d'utilisateur admin, nous effectuons la base64, puis nous testons et mettons la base 64 ici comme cookie d'identification de session dans les en-têtes. Je l'enverrai si nous obtenons l'accès d'un méchant à des résultats positifs. Nous conclurons cela. C'est le bon cookie en base64. Je pourrai découvrir pour nous la ligne de mots de passe correspondante et les bases. Allons-y et exécutons ceci.
Ok, alors c'est quoi tout ça ?
Voici donc les identifiants de session. D'accord. Désormais, l'ID de session correct était celui-ci, car il entraînait un résultat positif pour un appel positif sur la page d'administration. Nous avons pu y accéder et voici le mot de passe correspondant dans la liste. Ce mot de passe n'a pas été calculé n'a pas été trouvé lors d'une opération de calcul complexe surtout s'il était juste dans la liste, mais nous avons pu le retrouver car nous avons effectué le nécessaire.
Réputations sur la somme de contrôle md5 et nous avons testé sur la page d'administration et ce fut un succès positif sur ce cookie. Nous allons donc prendre ce mot de passe et nous connecter.
Alors reviens.
Se déconnecter.
D'accord, comme vous pouvez le voir, nous avons pu nous connecter, allez à Administration et nous voyons que nous pouvons accéder au panneau d'administration et au panneau d'administration. Nous avons un vérificateur de statut de service en supposant. Il exécute une commande système, mais nous ne le savons pas encore. Qu'est-ce que c'est bizarre ? Nous pouvons peut-être simplement faire une estimation sur le type de commande ? Ainsi, par exemple, systemctl pourrait être la commande utilisée.
statut
SSHd
système de ville d'observateurs introuvable actif. C'est inactif.
C'est donc une sorte de chose qui s'exécute. Donc, ce que nous pouvons faire ici, nous pouvons effectuer une injection de commandes. Donc, pour récupérer, je dois revenir à la machine ou à la machine de l'attaquant. Alors allons-y et nclb soit 44 45.
D'accord, alors celui-ci sonne bien.
Allons-y et prenons ceci.
donc
Très bien, voyons d'abord l'adresse IP de cette machine.
Et ici, vous allez faire face à cela temporairement et nous allons copier l'adresse IP.
10 10 12 42 43
Assurons-nous qu'il s'agit de la bonne adresse IP. Nous ne voulons pas nous battre avec cela plus tard. 194 243. D'accord. Alors maintenant
Nous allons aller de l'avant et prendre ceci.
Donc y retourner.
Ouais, j'ai oublié. Je suis une machine à attaquer. Je pensais que je possédais ma machine virtuelle, donc bash. Nous voilà donc allés taper nous voulons non seulement exécuter ce code qui ne fonctionnera pas car il ne correspond pas à la commande attendue par le système. Nous n’allons donc pas y parvenir seuls, car cela ne fonctionnera pas. Évidemment. Nous devons utiliser le service ou la commande attendue par le système.
Alors ici, utilisons bash see.
et ici des guillemets doubles
Bien sûr, les pauvres le feront 45 45.
sshd vérifie le service et
exécutez la commande suivante exécuter.
peu de travail
travail de partition
Cher auditeur, je ne cours pas ou je ne vais pas exécuter ceux-ci maintenant 45 45, puis je reviens ici.
Et cela nous a donné le shell sous forme de données de dub dub, la prochaine chose que vous souhaitez stabiliser le shell, vous devrez donc taper TTY.
D'accord, bonjour, c'est bien. Nous avons donc ici un fichier nommé config si nous obtenons config ?
Voir leurs informations à ce sujet sont nommés. Nous venons de voir dans les notes et les notes de l'administrateur Rick et c'est l'analyseur donc poursuivre en justice.
Et nous récupérons le mot de passe et nous pouvons passer à l'utilisateur suivant.
D'accord. Donc, aujourd'hui, elle vérifiera à nouveau les privilèges de cet utilisateur, collez le mot de passe comme vous pouvez le voir, Rick peut exécuter cette commande en tant que root sans avoir besoin de fournir le mot de passe et il y a une chose à noter ici. La réinitialisation de l'environnement est activée et la conservation de l'environnement est définie sur le chemin de la bibliothèque de chargement. Cela signifie que nous pouvons préciser.

Le casier doit être exécuté ou utilisé lorsque nous exécutons Apache. C'est généralement le cas lorsque vous exécutez un exécutable.
Avec sudo, nous rechercherons ensuite le chemin de la bibliothèque ou le fichier de bibliothèque correspondant dans le chemin de la bibliothèque par défaut. D'accord, si vous parvenez à spécifier un chemin de bibliothèque personnalisé

D'accord, Linux pourra ou Linux prendra le chemin que nous spécifions, mais pour que cela se produise, la réinitialisation de l'environnement doit être activée et c'est le cas. La réinitialisation de l'environnement est activée et nous pouvons spécifier le chemin de la bibliothèque, ce qui signifie si nous pouvons spécifier le chemin de la bibliothèque. pour ce processus. D'accord, nous pouvons créer un fichier bibliothèque malveillant.

J'ai donc ceci dans mes notes. Revenons en arrière et utilisons le trait de soulignement LD. Oui, préchargement LD et chemin de la bibliothèque LD

Donc, fondamentalement, nous allons utiliser ceci.

Alors prenons ce code.
Copiez-le.
Et sur ma machine locale ou sur la machine locale ici.
Je vais créer un fichier nommé.
Bravez la mer
Battez l'espace économisé par ce code et nous allons ensuite le compiler dans un fichier de bibliothèque.
donc ici
Je pense que ce sera mieux si nous combinons cela sur la machine elle-même. Donc pour pouvoir transférer ce pet dans la machine, on va utiliser le net cut donc et voir.
C'est du LVP. 4546.
riveté voir
permission refusée
Bosch
Très bon. Voir autorisation refusée. Ok et voyons, laissez-moi revenir en arrière et trouver comment faire ça parce que parfois
une erreur et la commande ne fonctionnera pas. Alors nous allons peut-être sous Linux et vérifions le transfert.
Ouais. Donc, sur le port de destination, vous pouvez l'exécuter sur la machine, mais cela ne fonctionne pas. Donc 45 46 est vers le haut que nous utilisons déjà la LED Know and See 4547. Nous allons voir.
Autorisation refusée, pourquoi ?
Et voyez l'adresse IP, c'est ça.
447
Reine de la mer
Oui exactement. Cela ne fonctionnera pas avec une écoute en premier.
Mais Rick ne peut pas courir et voir pour une raison quelconque.
si l'autorisation C est refusée
Répertoire de changement temporaire du CD
Peut-être que cela fera fonctionner les choses.
Oh d'accord. Et maintenant, nous envoyons le fichier.
Et nous avons reçu la connexion.
OK, LS et prouve que la mer est là. Maintenant. Nous allons le compiler sur la machine. Revenons donc à l'escalade privilégiée Linux et au trait de soulignement.
recharger
Voilà donc la commande.
C'était un C brutal.
Allez, non.
Alors gc Dash, oh, ça va être temp.
C'est partagé si Pi C. D'accord, et ensuite voyons.
Après avoir compilé, puis-je afficher le fichier comme un répertoire ?
D'accord.
Ça va être S 0 à 1 avec le peso.
un, puis le reste de la commande suit
nous avons donc ce fichier ici, la prochaine chose que nous voulons utiliser pour exécuter ce fichier. Donc pseudo comme vous pouvez le voir nous spécifions le chemin de la bibliothèque à partir duquel nous allons choisir le fichier bibliothèque.
Cela va ici.
premier à faire
D'accord
maintenant le fichier de bibliothèque ici les gars.
Ce que nous avons créé va être souillé.
à la fin
donc c'est privé donc celui-là.
donc un
Ou je pense que nous n'avons pas besoin de le préciser car il va le récupérer tout seul.
Oui, spécifiez toujours le répertoire, la prochaine chose que nous voulons faire est d'exécuter la commande.
D'accord, c'est donc la commande.
D'accord, supprimons ce fichier.
Je pense que nous allons devoir conserver le nom car il s'appelle Library Crypt. D'accord, cela va prendre cette commande une fois de plus.
Nous verrons.
Nous verrons.
Et puis nous allons exécuter la même colonne ou réessayer.
Attendez celui-ci.
Et comme vous pouvez le voir, l'invite est passée de Rick à root et nous avons maintenant réussi à élever les privilèges, donc CD à root.
Et vous avez conquis la machine. C'est ça.
Alors les gars, c'était tout. J'espère que vous ferez la vidéo et certainement les gars, je vous verrai plus tard.