Отказ от ответственности: Вся информация в этом документе
предоставлена исключительно в образовательных целях. Продолжая читать этот документ вы соглашаетесь не использовать эту информацию в незаконных целях, и подтверждаете, что вы и только вы несете полную ответственность за свои действия основанные или знания, полученные благодаря информации из этого документа.
Прежде чем начать, нужно зарегистрироваться в лаборатории, настроить VPN-соединение и подключиться к сети виртуальной компании CyBear32C.
Зарегистрируйтесь здесь: https://lab.pentestit.ru/
и затем следуйте инструкциям на странице https://lab.pentestit.ru/how-to-connect для того, чтобы подключиться.
Для проведения тестирования я рекомендую установить в виртуальной
машине Kali Linux — специальный дистрибутив Линукса для пентестеров, в котором есть все необходимое чтобы приступить к делу. Если вы этого еще не сделали, самое время: https://www.kali.org/.
начинаем тестирование
После регистрации и подключения мы видим следующую схему сети:
VPN-подключение остается за кадром, и после него мы получаем
доступ к единственному внешнему IP компании CyBear32C — 192.168.101.8, который в реальной жизни был бы шлюзом в интернет.
Начнем, как обычно, с enumeration, и, в частности, со сканирования портов, чтобы определить какие сервисы из внутренних подсетей доступны снаружи.
Начнем с быстрого сканирования портов.
Как видим, нам доступен целый набор сервисов с разных внутренних
машин (см. схему сети), включая, вероятнее всего, сервер mainsite (порт 80), сервер mail (25, 8100), ssh (порт 22) и другие. Кроме того, есть еще https ресурс и прокси сервер.
изучаем mainsite
Начнем с того чтобы зайти по адресу http://192.168.101.8/:
Нас автоматически редиректит на www.cybear32c.lab, посмотрим на это
внимательнее:
Нам приходит заголовок Location: http://cybear32c.lab — виртуальный
хост по которому, собственно, и будет доступен сайт компании.
Добавляем нужный домен в /etc/hosts и пробуем еще раз:
Отлично, сайт поднялся, и можно его начать изучать. Попробуем понять, что это такое. Перед тем, как начать изучать сайт вручную можно запустить утилиту whatweb, а затем dirb, которая поможет определить какие есть поддиректории (можно воспользоваться и
другими сканерами, например nikto):
Видим, что коды ответов на все запросы равны 403 — наверняка сайт
защищен WAF-ом. Так как в браузере все работает, пробуем подставить
User Agent, и находим несколько интересных страниц:
Параллельно смотрим на сайт, видим, что это — Wordpress,
защищенный WAF-ом. Заход на страницу /admin переводит нас на закрытый wp-login.php
Для Wordpress сайтов есть великолепная утилита wpscan, которая
позволяет проверить их на наличие плагинов с уязвимостями. Пробуем для начала посмотреть общую информацию по сайту, подставив нужный user agent. Он тут же находит несколько проблем, в том числе и уязвимый к SQL injection плагин wp-symposium v15.1.
Отлично, пробуем проэксплуатировать каждую из приведенных уязвимостей с помощью эксплоитов по ссылкам… К сожалению срабатывает WAF, и запросы с пэйлоадами на SQL не проходят.
Попробуем его обойти…
Часто многие Web Application Firewalls используют сигнатуры атак, которые можно обойти немного изменив синтаксис: добавив конкатенацию, или изменив регистр в запросе: vErSiOn вместо version, например. Обход WAF — отдельная серьезная тема, которой можно
посвятить множество книг и статей.
К сожалению, эти варианты не сработали. Вспомним о прокси на порту
3128 и попробуем настроить браузер на работу через него.
Прокси запрашивает авторизацию:
Здесь нам пригодятся данные из графы Contact Us, которые мы видим
на этом же сайте.
Создаем текстовый файл со словариком и двумя учетными записями:
b.muncy и r.diaz, и пробуем подобрать пароль:
Удачно! Сайт больше не говорит о неправомерных действиях — WAF повержен.
Теперь попробуем еще раз зайти на сайт через прокси и авторизоваться в нем. Результат в данном случае уже выглядит по-другому (сайт также доступен по внутреннему IP: 172.16.0.5, но другие внутренние сервисы все еще недоступны):
Продолжение следует...
Пы.сы. Спасибо за 1000 подписок.
