H5: Me in the Middle

https://terokarvinen.com/2021/penetration-testing-course-2021-autumn/#h5-me-in-the-middle

Vinkkejä:

• Muista merkitä harjoitusmaalisi ZAP:ssa kohteeksi, in scope.

• Tallenna itsellesi HackTheBox:n säännöt (oikealla ylhäällä kysymysmerkki pallossa, Rules)

• HTB VPN: Oikeasta ylänurkasta “Connect to HTB”, “Starting Point”, “OpenVPN”, “UDP 1337”, “Download VPN”, sitten(ulkomuistista) ‘sudo openvpn tero.ovpn’

• HTBssä on kaksi VPN verkkoa, “Starting point” ja “Machines”. Niiden koneet eivät näy toiseen verkkoon.

• Spawn the Machine. Nykyisin HTB:n koneet pitää käynnistää, ennenkuin niillä voi harjoitella. Eli tyhjän verkon skannailu ei paljoa lämmitä… Eka kone https://app.hackthebox.com/starting-point ja “Spawn Machine”. Kun kone on käynnistynyt, sen IP-osoite näkyy spawn-napin tilalla.

• Kokeile, että pakettisi menevät oikeaan verkkoon HTB:n VPN:ssä.

• Fawn: root flagin saa roottaamatta konetta

Varoituksen sana alkuun

Tällä viikolla tein tehtävät minimipanostuksella, edellisharjoituksissa olen nähnyt paljon vaivaa suorittaakseni tehtävät mahdollisimman hyvin omaan taitotasooni nähden. Tekijän kisakunto kuitenkin loppui, kysymys ei ollut tämänkertaisten tehtävien vaativuudesta (päinvastoin tällä kertaa tehtäviä oli vähän!) vaan tekijän väsymisestä. Syynä ei ollut myöskään tämä kurssi vaan viikkoja jatkunut kokonaistyömäärä opintojen suhteen.

Sisällysluettelo

• H5: Me in the Middle
  • Varoituksen sana alkuun
  • Sisällysluettelo
• a) Totally Legit Sertificate
• b) Kettumainen kettu
  • HUD tutoriaali
    • Uusi yritys
• c) Kokeile
  • OWASP Juice Shop
• d) Edit & resend
• c)[sic] Break
• d)[sic] Automaagista
• e) Starting point
  • Säännöt
  • Aloittamisen hankaluus
• f) Appointment
  • No appointments
  • Jotain muuta
  • Spawnaavien koneiden IP-osoitteiden ymmärtäminen
  • Vanha HtB

a) Totally Legit Sertificate

Asenna OWASP ZAP ja sen CA-sertifikaatti selaimeesi. Jos sinulla on jo ZAP, generoi uusi sertifikaatti ja asenna se.

OWASP ZAP on asennettu ja dokumentoitu kurssilla pariin otteeseen: ensimmäinen ja toinen, parempi esimerkki. Tällä hetkellä käytössä on jälkimmäisen esimerkin asennus. Sertifikaatti generoitiin, asennettiin ja dokumentoimiin viime tunnilla.

b) Kettumainen kettu

Asenna FoxyProxy lisäke Firefoxiin. Tee siihen sääntö, joka ohjaa vain kohdepalvelimen liikenteen ZAP-proxyyn. Muu liikenne saa mennä suoraan proxyn ohi nettiin.

FoxyProxy asennettiin ja dokumentoitiin mutta sääntöä kohdepalvelimen liikenteen ohjaamiseksi ei vielä luotu. Tehdään se. Luetaan FoxyProxyn patternien luomisesta: https://help.getfoxyproxy.org/index.php/knowledge-base/url-patterns/

• Pattern luodaan joko wildcardeilla tai regexillä
• On sekä whitelist ja blacklist patterneja, whitelistalta menee proxyn kautta ja blacklistalta ei
• Meidän patternin tulisi olla muotoa vaikkapa “whitelist: käytä proxya osoitteissa ja porteissa”:
  • localhost:8080/WebGoat (WG)
  • 192.168.223.3 (Metasploitable)
  • 192.168.233.6 (Nullbyte)
  • blacklist: muuten päästä läpi kulkematta proxyn kautta tai päädyt suoraan vankilaan (jos ollaan netissä)
• Toki pattern voisi olla yksinkertaisempi (ainakin teorian tasolla), proxyta kaikki liikenne lähiverkossa mutta internetissä älä.

Yritetään luoda ne seuraavasti:

# whitelist
*://localhost:8080/WebGoat/*
*://192.168.233.3/*
*://192.168.233.6/*
# blacklist
*

Törmätään ongelmaan: “No slash in wildcard patterns. You cannot match URL paths because of Firefox restrictions.” Homman saa toimimaan kuitenkin poistamalla kenoviivat ja jättämällä patternit muotoon:

# whitelist
*localhost:8080*
*192.168.233.3*
*192.168.233.6*
# blacklist
*

Kokeillaan käytännössä, OWASP ZAP HUD on päällä joten sen pitäisi näkyä sivuilla jotka proxytetaan. Huomataan että blacklist * ajaa whitelistin yli, joten poistetaan se. Sen jälkeen “Use Enabled Proxies By Patterns and Order” selain ei avaa HUD:ia. Hmmmm. HUD tutoriaalihan tehtiin jossakin spesifissä osoitteessa, tarkastetaan se, ehkä se on lisättävä proxy-patterniin. Kyseessä oli localhostin portti: https://127.0.0.1:35187/. Lisätään tämä whitelistiin *127.0.0.1:35187* ja katsotaan. Saadaan uusi error HUD:n sivupalkeissa:

Oops.

The site at https://zap//zapCallBackUrl/-6963646008845350738/file/panel.html?url=https://192.168.233.3/mutillidae/&orientation=right&frameId=rightPanel&tabId=6758055-113 has experienced a network protocol violation that cannot be repaired.

The page you are trying to view cannot be shown because an error in the data transmission was detected.

Hmmh lisätään *zapCallBackUrl* whitelistiin, mutta sekään ei auta ja varmasti näin patternia ei ole tarkoitus käyttää. Kun otetaan FoxyProxyn asetus käytä proxyä kaikille urleille, ongelmat häviävät ja HUD toimii normaalisti. Teoriassa jos haluttaisiin kaapata koko aliverkon liikenne voitaisiin käyttää whitelistissä wildcard patternia: 192.168.233.*. Jätän regex-leikit vielä tuonnemmaksi, mutta selvää on että sillä pystyisi tekemään monipuolisempia patterneja.

HUD tutoriaali

Tehdään tässä vaiheessa kuitenkin HUD-tutoriaali pois alta joka jäi tunnilla kesken ja sallitaan proxyn kaapata kaikki liikenne sen aikaa, jos vaikka sen suorittaminen (vaihe johon HUD pyrkii jos tutoriaalia ei ole suorittanut tai kytkenyt pois päältä) saisi proxyn toimimaan oikein. Joudutaan aloittamaan tutoriaali alusta mutta eipä tuo mitään (eikä mitä, ZAP muisti etenemiseni, ei tarvitse aloittaa alusta), kertaus on opintojen äiti. Laitetaan muistiin vielä että HUD vaatii https:n toimiakseen, voidaan vielä kokeilla tämän jälkeen räplätä FoxyProxyn asetuksia HTTP:stä HTTPS:ään, vaikka http:n pitäisi kaapata myös kaikki https liikenne.

Jäin tunnilla tutoriaalissa kohtaan “Break”. Arvelin että minun on suodatettava WebGoatin taustaliikenne koska tein tehtävää WG:n ollessa päällä sen juostessa taustalla ja kaapatessani kaiken liikenteen. Katsotaan onnistuuko nyt helpommin kun WG ei ole päällä. Nyt Break-painike ei toimi kunnolla. Se ei tarjoa aiemmin oikein toimineita vaihtoehtoja: Step Continue ja Drop.

Hmm. Kokeillaan kytkeä tutoriaali oletuksena pois päältä ja katsotaan toimivatko patternit. Laitetaan Tools –> Options –> HUD –> Skip tutorial tasks ja Enable the HUD only for URLS that are in scope. Todetaan jälkimmäinen huonoksi ideaksi ja poistetaan vain skopessa olevat URL:t HUD:n asetuksista.

Uusi yritys

HUD vaikuttaa hyvin epävakaalta. Tällä hetkellä, uudelleen käynnistäessä, HUD:ssa on asetuksena: Skip tutorial tasks. Silti välittömästi Metasploitableen mennessä se menee tutoriaaliin. Nyt kuitenkin Breakin muokkaus toimii ja lähetys onnistuu. Viimein tutoriaali on valmis. Patterneissa on silti vielä jotain pielessä, HUD toimii ainoastaan FoxyProxyn ollessa päällä kaikille URLeille, mutta ei “Use Enabled Proxies By Patterns and Order”. Palataan pohtimaan FoxyProxyn Patterneja harjoitusten lopuksi.

c) Kokeile

Kokeile, että ZAP sieppaa liikenteen valitsemastasi harjoitusmaalista. Voit käyttää aiemmin asentamaasi harjoitusmaalia tai uutta. Asenna tarvittaessa uusi harjoitusmaali, vaikkapa OWASP Juice Shop.

Olemme jo kokeilleet ja kaapanneet ja muokanneet ZAP:lla harjoitusmaalien liikennettä useammassa tehtävässä:

• https://nihti.github.io/pentest/h1.html#wg–proxy-palvelin
• https://nihti.github.io/pentest/h3.html#a2-broken-authentication-1
• https://nihti.github.io/pentest/h3.html#a3-sensitive-data-exposure

OWASP Juice Shop

Asennetaan uusi harjoitusmaali OWASP Juice Shop. Katsotaan erilaisia vaihtoehtoja Juice Shopin asentamiseksi, uusi vm Kalin, Nullbyten ja Metasploitablen kaveriksi vaikuttaa mukavimmalta. Sitä varten tarvitaan Vagrant. Ladataan se https://www.vagrantup.com/downloads. Katsotaan asennusvideo: https://www.youtube.com/watch?v=mPBWWu7sZU4.

Ohjeet olivat Vagrantille:

Vagrant is an open-source solution for building and maintaining virtual software development environments. It creates a Virtualbox VM that will launch a Docker container instance of the latest Juice Shop image v13.0.0.

• Install Vagrant and Virtualbox
• Run git clone https://github.com/juice-shop/juice-shop.git (or clone your own fork of the repository)
• Run cd vagrant && vagrant up
• Browse to 192.168.33.10

Ihan näin tuskin haluamme menetellä varmaankaan, en halua omalle koneelleni selaimeeni Juice Shopia pyörimään. Hylätään uusi VM idea ja asennetaan OWASP Juice Shop WebGoatin ja WebWolfin kaveriksi Kaliin: https://www.youtube.com/watch?v=sbZueoisq6U

Ohjeet olivat From sources:

• Install Node.js on your computer.
• On the command line run git clone https://github.com/juice-shop/juice-shop.git.
• Go into the cloned folder with cd juice-shop
• Run npm install. This only has to be done before the first start or after you changed the source code.
• Run npm start to launch the application.
• Browse to http://localhost:3000

Tehdään:

sudo apt install nodejs
sudo apt install npm
# heittää E: failed to fetch erroria
sudo apt update 
npm -v 
# npm ei ole asennettu, haluatko asentaa? -y, asennus menee nyt läpi 
git clone https://github.com/juice-shop/juice-shop.git
cd juice-shop
npm install
# asennuksessa kestää melko tovi
# nykäistään kali irti netistä host-only verkkoon
npm start
firefox "http://localhost:3000"

Klikataan “Help getting started” Juise Shopissa ZAP HUD:n ollessa päällä. Se taisi olla tasan yksi ponnahdusikkuna? Asetetaan HUD:ssa sivu scopeen ensinnäkin ja jatketaan syvemmälle harjoituksiin.

d) Edit & resend

Näytä ZAP:lla esimerkki pyynnön uudelleen lähettämisestä (edit and resend).

Otetaan selaimen ponnahdusikkunaesto pois päältä että HUD toimisi paremmin, vaikkeikaan täydellisesti edelleenkään. HUD:n toiminnan takaamiseksi joudun kaappaamaan FoxyProxyllä kaiken selaimen liikenteen ja sallimaan kaikki ponnahdusikkunat, pelkkä maalin osoitteen lisääminen selainasetusten listaan ei auttanut. Selvästi HUD lähettää taustaliikennettä jota olisi hyvä tutkia WireSharkilla. Tässä tehtävässä se ei ole vielä välttämätöntä, joten palataan siihen myöhemmin.

Yritetään tehdä tehtävät HUD:lla. Klikataan History välilehteä alakulmasta ja yritetään muokata jonkun GET-pyynnön bodya, saadaan error:

ZAP Error [java.net.UnknownHostException]: cdnjs.cloudflare.com

Stack Trace:
java.net.UnknownHostException: cdnjs.cloudflare.com
	at java.base/java.net.AbstractPlainSocketImpl.connect(AbstractPlainSocketImpl.java:220)
	at java.base/java.net.SocksSocketImpl.connect(SocksSocketImpl.java:392)
... etc

Hmm cdnjs cloudflare. Miksi Juice Box / ZAP / HUD haluaa lähettää cloudflareen viestintää Javalla? (Vastaus: AJAX spiderillä ajaessa sivua myöhemmässä vaiheessa huomataan että liittyy Juice Boxin toiminnallisuuteen) Otetaan HUD pois päältä koska sen käyttö tuo lisälayerin jota en vielä hahmota riittävän hyvin homman debuggausta varten. Juice Box applikaation protokolla muuttuu samalla HTTPS:stä HTTP:hen, HUD pakottaa kaiken liikenteen HTTPS:ään.

Klikataan ZAP:ssa History-välilehdeltä Open/Resend with Request Editor ja muokataan Requestin headeria

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 

muotoon

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 ZAP ZAP ZAP 

ja lähetetään uudestaan. Saadaan vastaus “Bad Request”:

c)[sic] Break

Pysäytä ZAP:lla pyyntö tiettyyn URLiin, muokkaa sitä ja päästä eteenpäin.

d)[sic] Automaagista

Tiedustele valitsemasi harjoitusmaali ZAP:n automaattisilla toiminnoilla, kuten spider ja forced browsing. Arvioi ZAP:n tuloksia, kuten löytyneitä tiedostoja ja varoituksia.

Spider löytää 386 Urlia mutta nopeasti.

Ajetaan AJAX Spider Tools –> AJAX Spider

AJAX Spider, hitaampi crawler joka seuraa myös JavaScript-linkkejä tuottaa sadoittain osumia ohjelmiston URL:eista.

Forced Browse vaatii Site (Localhost:3000) lisäksi List, ja ainoa tarjollaoleva pudotusvalikossa on directory-list-1.0.txt. https://www.zaproxy.org/docs/desktop/addons/forced-browse/. Lista on selvästi kymmeniä tuhansia rivejä pitkä, 143516 requestia lopulta lähti. Sotkee Sites tiedostopuurakenteen koska nyt siellä on tuhansia tyhjiä pyyntöjä.

e) Starting point

_HackTheBox. Kytkeydy HackTheBoxin “Starting Point”-verkkoon OpenVPN-yhteydellä ja käynnistä kone Meow “Spawn Machine”. Liitä vastaukseesi ruutukaappaus, jossa Starting pointin ilmaiset osat näkyvät ratkaistuna profiilissasi. Tämän kohdan saa raportoida, säännöissä erikseen annetaan lupa julkaista “Starting Point Machines” ratkaisuja. Vaihtoehtotehtävä: Jos nämä koneet ovat jollekin propellihatulle helppoja, voit näiden sijasta korkata yhden tavallisen koneen Machines-verkosta: Meow, Fawn, Dancing

Käynnistetään Kali. Logataan HTB:n sivuille ja ladataan sieltä starting point .ovpn-tiedosto.

cd Downloads
ls -la 
sudo openvpn starting_point_nihti.ovpn
ping hacktheboxip 

Säännöt

1. Don't try to hack anything apart from the HTB Network
The HTB Network is 10.10.10.0/24 (10.10.10.1-10.10.10.254). Limit all your curiosity in this specific subnet.

2. Don't hack machines apart from the intended ones
Its not the end of the world if you try to hack gateways and other nodes on HTB Network (10.10.10.0/24) but if you succeed don't do any damage and inform us as soon as possible.

3. Any form of DoS (Denial of Service) is forbidden
There is no reason to use any form of DoS on any machine inside or outside of HTB Network. If you accidentally perform such an attack let us know as soon as possible.

4. Don't try to hack other members
The network is built in such a way that direct communication between two member systems is prohibited. Although there are ways to attack another member, attacking or even connecting to other member's clients is strictly prohibited.

5. Don't use your production PC to connect to HTB Network
We strongly recommend not to use your production PC to connect to the HTB Network. Build a VM or physical system just for this purpose. HTB Network is filled with security enthusiasts that have the skills and toolsets to hack systems and no matter how hard we try to secure you, we are likely to fail :P.
We do not hold any responsibility for any damage, theft or loss of personal data although in such event, we will cooperate fully with the authorities.

6. Streaming
You are only permitted to upload, stream videos and publish solutions in any format only for Retired Content of Hack The Box or for Free Academy Courses. In detail, this includes the following Hack The Box Content:

    Retired Machines
    Retired Challenges
    Retired Endgames
    Starting Point Machines
    Battlegrounds Practice Battles
    Tier 0 Academy Modules

Any streaming or publication of Hack The Box Content solutions not mentioned in the list above, is considered a violation of our ToS. Legal actions will be taken against the content and the owner of this material if the content is deemed to violate the ToS.

7. Don't spoil!
Don't share how you hacked each machine with other members. This includes all challenges.

Ensimmäinen ihmetys: verkko on 10.10.10.0/24. Meiken starting point palvelin on 10.10.15. alkunen. Tämä ei ole ongelma, se on meiken ip HtB:ssa. Lisäksi spawnatun Meow koneen ip on 10.129. alkunen. “1. Don’t try to hack anything apart from the HTB Network. The HTB Network is 10.10.10.0/24 (10.10.10.1-10.10.10.254). Limit all your curiosity in this specific subnet.”

“The IP is correct, 10.10.10.xx is for machines, 10.10.xx.xx for users. Mine starts with 10.10.15, so it’s not a problem with your IP. Can’t tell you why you can’t connect to machines though”

No ekassa kohdassa on lähinnä kysymyksiä, ehkä koneeseen ei ole tarkoitus ottaa yhteyttä? https://forum.hackthebox.com/t/machines-spawning-with-wrong-ip-address/3785/16

Aloittamisen hankaluus

HtB oli kehittynyt nopeaan tahtiin ja kaikki ohjeet mitä siihen katseli olivat vanhentuneita. Ladataan lopulta Meow walkthrough.pdf HtB:n sivuilta kuinka virtuaalikonetta on tarkoitus käyttää.

HtB on kaksi tapaa aloittaa: - Pwnbox - ja open VPN mitä me käytetään

VB:ssä Kalia ja HtB:tä käyttäessä esiintyy huomattavaa epävakautta ja järjestelmä jäätyy jatkuvasti vastaamattomaan tilaan. Nyt kun walkthrough on luettu ja se ei tarjoa apua Meow-masiinan ip-ongelmaan, kokeillaan uudestaan.

Käynnistetään openvpn yhteys palvelimelle uudestaan ja sen jälkeen Meow-instanssi. Luetaan sitten kuinka kohdekoneeseen otetaan yhteys, kuvittelisi sen olevan suoraan ip:llä mutta koska IP on HtB rangen ulkopuolella katsotaan ohjeet. En tule hullua hurskaammaksi. Ehkä HtB:n säännöt ovat vanhentuneet tai eivät koske Starting Point VPN:ää. Teoriassa kone korkattaisiin nmappaamalla kohde-ip ja loggaamalla telnet-portista rootilla sisään, mutta jätetään se nyt tekemättä koska säännöt kieltävät kohdekoneen IP-osoitteeseen hyökkäyksen.

f) Appointment

Kuinka monta lähestymistapaa keksit? Jos jokin ei toimi, kokeile jotain muuta. Kuinka pitkälle pääsit?

No appointments

Katsotaan jos Appointment koneen kanssa olisi enemmän onnea. Appointment koneen kanssa on vielä vähemmän onnea, sellaista konetta ei löydy HackTheBoxista enää, ei edes Retired Machines osiosta, ei Starting Point vpn-yhteyden ollessa päällä tai pois, ei koneita hakemalla eikä koko HtB:tä selaamalla. Aivan kuin sellaista ei koskaan olisi ollutkaan, vaikka selvästi on jos Googletaa.

Jotain muuta

Ottaa sen verran päähän tuo koneiden väärä ip-range ja sen täydellinen selittämättömyys sekä HtB:n omasta puolesta että foorumeilla, että kokeillaan muita masiinoita muissa verkoissa josko ne sikiäisivät oikealla ip:llä.

Mennään Connect to Machines with OpenVPN ja EU - Free ja valitaan kakkosserveri siellä ollessa vähiten väkeä. Ajetaan terminaalissa downloads-kansiossa sudo openvpn tiedostonimi. Odotellaan että yhteys aukeaa. Mennään sitten vasemmalla valikossa Labs –> Machines –> Active Machines ja filtteröidään Easy. Klikataan ensimmäistä, Backdoor. Se sikiää 10.10.11. alkuiseen osoitteeseen, jälleen sääntöjen ulkopuolella. Suljetaan kone, kokeillaan käyttäjien arvioimaa helpointa konetta Horizontall. Sekin on out-of-range, 10.10.11.105.

Olen melko varma että HtB on kasvanut liian nopeasti eikä ole päivittänyt sääntöjään vastaamaan nykytilaa. Netistä löytyvissä harjoituksissa koneet sikiävät oikein 10.10.10.0/24 osoiteavaruuteen ja olen nyt mielestäni seurannut HtB:n kaikkia ohjeita ja kokeillut sekä Machines että Starting Point. Katsotaan tunnilla kuinka muut ovat ratkaisseet harjoitukset ja ovatko he päätyneet rikkomaan joko sääntöjä, jättäneet tekemättä vai tehneet asiat jotenkin fiksummin ja oikein.

Spawnaavien koneiden IP-osoitteiden ymmärtäminen

Kysytään lisää ohjeita opettajalta, todennäköisesti en vain ymmärrä vpn tunneloinnin perusteita ja ip:t ovat oikeasti ihan oikealla rangella.

Vanha HtB

https://www.hackthebox.com/