x32x01
  • بواسطة x32x01 ||
ورشة عمل لأختراق مدونة وردبريس WordPress
TryHackMe|ColddBox:Easy

:: رابط الغرفة لحل التحدى ::
https://tryhackme.com/room/colddboxeasy

ملاحظه: سوف احاول ان اشرح طريقة الحل بدون كتابه الاجابة بشكل مباشر
للبدء يجب ان تقوم بتشغيل المعمل من خلال الضغط على الايقونه التالية
001.png
بعد ان يكتمل تحميل المعمل سوف يظهر لك عنوان IP الخاص بالجهاز في الشريط العلوي كما فى الصورة
002.png
كلمة IP في كل الكوماندز اللي أكتبها تُستبدل بالـIP للمشين بتاعتكم على TryHackMe
 
  • بواسطة x32x01 ||
أول حاجة نشغل الـmachine ونتأكد إننا اتصلنا بشبكة TryHackMe والاتصال مضبوط، بعدين نبدأ بأول خطوة للحل وهي إننا نسوي scan للشبكة باستخدام nmap
Code:
sudo nmap IP -vv
003.png
طلع معانا بورت واحدة فقط وهي 80 بنسوي عليها Aggressive scan
Code:
sudo nmap IP -p 80 -A
004.png
 
  • بواسطة x32x01 ||
طلع معانا إن الموقع على بورت 80 يستخدم wordpress، وبما إنه يستخدم wordpress إذن بنستخدم في الـscans القادمة الأداة wp-scan

الحين بنبدأ مسح على جميع البورتات ونشوف لو نلاقي بورت أخرى مفتوحة، وعلى بال ما هذا الـ سكان شغال نشتغل على بورت 80 ونشوف وش نقدر نطلع منها معلومات كمان.
Code:
sudo nmap IP -p- -vv
 
  • بواسطة x32x01 ||
أول شيء بنسوي directory enumeration باستخدام gobuster
Code:
gobuster dir -w /usr/share/dirb/wordlists/common.txt -u htttp://IP/ -t 64
005.png
طلع معانا مسارين مثيرة للاهتمام وهي /hidden, /wp-admin

/wp-admin هو صفحة تسجيل الدخول على الداشبورد الخاصة بـwordpress
/hidden يحتوي على ملاحظة فيها أسماء 3 أشخاص وعلى الغالب هذه الأسماء تعود لمستخدمين فعليين على النظام.
006.png
هنا ذكر C0ldd, Hugo, Philip
أما الصفحة الرئيسية للموقع فما تحتوي على أي شيء مهم.
 
  • بواسطة x32x01 ||
المفروض بقى دلوقتى
نستخدم wp-scan عشان يجمع لي معلومات عن الموقع مثل vulnerable themes, vulnerableplugins, users وهكذا
 
  • بواسطة x32x01 ||
ونكمل دلوقتى عشان نعرف لو فيه أيه ثغرة ندخل من طريقها
001.png
طبعا العنوان يتغير بحسب الماشين بتاعتكم
002.png
طلع معانا 3 أسماء لمستخدمين وبالضبط مثل الأسماء اللي كانت في /hidden، وهذه الحركة موجودة كثير في الـCTF.

نرجع نستخدم wp-scan ونسوي brute force على هذولا المستخدمين الثلاثة، لكن قبل ما نبدأ لازم نحفظ أسمائهم في ملف عندي ونسميه مثلا users، كل اسم يكون في سطر لحاله. ثم نبدأ البحث عن كلمة السر:
003.png
اصبروا عليه شويتين وبيعطيكم كلمة السر لـc0ldd
004.png
 
  • بواسطة x32x01 ||
نروح لـ/wp-admin ونسجل دخول
001.png
طيب دلوقتى دخلنا على الداشبورد ونبغى طريقة نحصل على shell، في طريقة ممتازة وسهلة، وكثير تضبط مع wordpress

الحين لو نلاحظ في الصفحة الموجود بالموقع فيه رقم فوق يدل على الصفحة
002.png
مثلا هذه صفحة واحد

لو جربنا وحطينا صفحة غير موجودة مثل 3، يعني نبدل رقم واحد ب 3
003.png
بيطلع لنا صفحة خطأ
004.png
 
  • بواسطة x32x01 ||
ودلوقتى ايه رأيكم
لو غيرنا صفحة الخطأ هذه بـreverse shell ورجعنا عملنا تحديث لها، عشان تشغل الـshell ونحصل عليها على جهازنا ؟
 
  • بواسطة x32x01 ||
نروح أول شيء على Appearance من الاختيارات الجانبية ومن هناك نختار Editor
001.png
إذا دخلنا على الـEditor بنلقي صفحات php متنوعة، ومنها صفحة الخطأ. نضغط عليها
002.png
الحين نحذف الكود اللي فيها ونجيب مكانه الـshell بتاعنا،
أنا استخدمت الـpentestmonkey php shell أخذتها من الموقع revshells
003.png
ثم لما ننسخ الكود في الصفحة نضغط على update
004.png
نجهز الـlistener علىجهازنا، ثم نروح ونعمل تحديث للصفحة 3
005.png
وبكذا بنحصل على shell للضحية على جهازنا
006.png
 
  • بواسطة x32x01 ||
  • #10
بس خدوا بالكوا يا شباب
لو أنت ضغط على CTRL+C
السيشن سوف تغلق معاك .. عشان كده أحنا لازم نثبتها علشان تبقى متينه معاك ولا تقفل ونحافظ على السيشن مفتوحة
 
  • بواسطة x32x01 ||
  • #11
بما إن الـvictim جهاز نواته linux فجدا سهل إننا نعمل stabilization للـshell، ليه يعني؟ يعني نخليها متينة وما تقفل أول ما نضغط ctrl+c ونقدر نستخدم الأسهم و tab completion وكذا

الخطوات كالتالي:
نشغل هذه الكوماند باستخدام python3 إذا ما ضبط عادي نجرب python
Code:
python3 -c 'import pty; pty.spawn("/bin/bash")'
بعدين هذه الكوماند
Code:
export TERM=xterm
ثم نضغط على الكيبورد ctrl+z عشان نخلي الـshell ترجع للخلفية
دلوقتى بقى نجيبها لقدام باستخدام هذه الكوماند
Code:
stty raw -echo;fg
دلوقتى بقى معانا stable shell نقدر نستخدمها براحتنا بدون ما نخاف إنها تطير أو تطفشنا إذا جينا نمسح ونعدل بالكلمات. إذا رجعت لكم الـshell ماهي منتظمة وبادية من نص السطر، بس شغلو أي كوماند مثل id وبترجع تضبط بإذن الله.
007.png
 
  • بواسطة x32x01 ||
  • #12
الخطوة اللى جاية بقى سكريبت حنرفعه على السيرفر ونجمع منه معلومات كتيييييير جدا
 
  • بواسطة x32x01 ||
  • #13
سكريبت جامد يا شباب .. نرفعه على سيرفر الضحيه وسوف تحصل على كمية معلومات كتير .. تقريبا سوف توفر عليك ساعات من البحث
 

المرفقات :

  • سكريبت المعلومات.zip -
    33.6 كيلوبايت · المشاهدات: 4
  • بواسطة x32x01 ||
  • #14
نروح أول شيء للمجلد اللي في جهازنا اللي يحتوي على linpeas.sh ونشغل هذه
001.png
وعلى الضحية نروح لـ /tmp ونشغل هذه
002.png
ولما يوصل الملف نقفل الاتصال باستخدام ctrl+c على جهازنا.

نغير صلاحيات الملف ونخليه ملف تشغيلي chmod +x linpeas.sh وبعدين نشغله ونعطيه وقته ونشوف ايه يطلع معانا من نتائج
003.png
على بال ما linpeas.sh يشتغل، نروح نشوف المسح اللي سويناه على جميع البورتات
004.png
طلع معانا بورت إضافية وهي 4512، نسوي عليها سكان لوحدها عشان نشوف وش شغال عليها
Code:
sudo nmap IP -p 4512 -sV
طلع شغال عليها SSH
005.png
معناته بنشوف لو قدرنا نحصل على credentials من خلال linpeas.sh ممكن نستخدمها في تسجيل الدخول على الجهاز باستخدام SSH. صحيح إن احنا الحين داخلين ومعانا stable shell لكن برضو يضل اتصال SSH أفضل وأفضل.

خلص linpeas وحصلنا على كلمة سر لـc0ldd نجرب نستخدمها وندخل على SSH وفعلا دخلنا
006.png
نبحث عن الـuser flag بالمجلد الرئيسي وراح نلاقيه، وإذا عرضناه بنلاحظ إنه مشفر باستخدام base64، على العموم إنتم لما تعطون الإجابة بتعطونها بدون فك التشفير
007.png
بعد فك التشفير طلع معانا جملة إسبانية ومعاناتها مبروك أنهيت المرحلة الأولى
 

المشاركات المتشابهة

x32x01
الردود
0
المشاهدات
16
x32x01
x32x01
x32x01
الردود
0
المشاهدات
17
x32x01
x32x01
x32x01
الردود
0
المشاهدات
32
x32x01
x32x01
x32x01
الردود
0
المشاهدات
40
x32x01
x32x01
x32x01
الردود
0
المشاهدات
38
x32x01
x32x01
الوسوم : الوسوم
أختراق المواقع تعلم أختراق المواقع

الدخول أو التسجيل السريع

نسيت كلمة مرورك؟

آخر المشاركات

أحدث المنتجات

إحصائيات المنتدى

المواضيع
1,610
المشاركات
1,797
أعضاء أكتب كود
202
أخر عضو
mohamedtech10l@
عودة
أعلى