HTB WifineticTwo. Атакуем OpenPLC и взламываем точку доступа

Содержание статьи

Разведка
Сканирование портов
Точка входа
Точка опоры
Локальное повышение привилегий

Сегодня мы начнем с необычной атаки: нашей целью будет интегрированная среда разработки софта для индустриальных программируемых логических контроллеров (ПЛК). Мы получим доступ к хосту через RCE-уязвимость и затем взломаем беспроводную точку доступа.

Наша цель — получение прав суперпользователя на машине WifineticTwo с учебной площадки Hack The Box. Уровень ее сложности — средний.

warning

Подключаться к машинам с HTB рекомендуется только через VPN. Не делай этого с компьютеров, где есть важные для тебя данные, так как ты окажешься в общей сети с другими участниками.

Разведка

Сканирование портов

Добавляем IP-адрес машины в /etc/hosts:

10.10.11.7 wifinetictwo.htb

И запускаем сканирование портов.

Справка: сканирование портов

Сканирование портов — стандартный первый шаг при любой атаке. Он позволяет атакующему узнать, какие службы на хосте принимают соединение. На основе этой информации выбирается следующий шаг к получению точки входа.

Наиболее известный инструмент для сканирования — это Nmap. Улучшить результаты его работы ты можешь при помощи следующего скрипта:

#!/bin/bashports=$(nmap -p- --min-rate=500 $1 | grep ^[0-9] | cut -d '/' -f 1 | tr 'n' ',' | sed s/,$//)nmap -p$ports -A $1

Он действует в два этапа. На первом производится обычное быстрое сканирование, на втором — более тщательное сканирование, с использованием имеющихся скриптов (опция -A).

Результат работы скрипта

Сканер нашел два открытых порта:

22 — служба OpenSSH 8.2p1;
8080 — веб‑сервер Werkzeug 1.0.1 на Python 2.

По логам Nmap можно сделать вывод, что сайт не самописный, то есть используется какая‑то CMS. Приступим к его изучению.

Главная страница сайта

Точка входа

Перед нами форма авторизации в системе OpenPLC. Дальше пути два: попробовать учетные данные по умолчанию и, если не получится, искать информацию об уязвимостях и готовые эксплоиты для используемой системы.