После полного сканирования хоста мы получим два открытых порта:

• 22 — OpenSSH Server 7.9p1;


• 80 — Apache httpd 2.4.38.

Начнем изучать целевую машину с веб-службы Apache. Заглавная страница на 80-м порте выдает нам индекс каталога.

Скачиваем единственный файл save.zip и пытаемся распаковать его. В результате узнаем, что он защищен паролем.

Чтобы получить доступ к содержимому, нужно подобрать пароль. Для этого нам нужна хеш-сигнатура файла. На помощь приходит вспомогательная утилита zip2john из состава пакета John the Ripper.

К сожалению, программа выдает хеш, совместимый только с «Джоном» (формат PKZIP), использовать его в моем любимом hashcat не удастся — он любит формат WinZIP.

• John the Ripper — легендарная свободная программа, предназначенная для восстановления паролей по их хешам.


• Hashcat — это, по словам создателей, самый быстрый в мире инструмент для восстановления паролей.

Кто-то предпочтет другие утилиты, но, по моему опыту, на реальных проектах с длинными паролями hashcat выручает чаще. В данном же случае взлом пароля не вызовет трудностей, поскольку он тривиален и с легкостью поддается перебору по универсальному словарю rockyou (он входит в любой современный наступательный дистрибутив Linux вроде Kali и Parrot).

Если же рассуждать о буднях пентестера в реальных условиях, то рекомендую обратить внимание на более увесистые словари. Например, в crackstation.txt.gz содержится 15 Гбайт реальных утечек, а в hashkiller-dict.7z еще 1,5 Гбайт.

Теперь можем распаковать архив и ознакомиться с его содержимым.

Содержимое распакованной папки etc не представляет особого интереса, кроме файла shadow. В нем содержится наименование учетных записей системы и хеши паролей. Попробуем подобрать пароль для какого-либо пользователя и подключиться к ранее обнаруженному порту 22 по SSH.

Выведем командой cat содержимое файла shadow и отфильтруем при помощи grep пользователей для перебора.

Если написать grep -v "*", то увидим все строки, в которых нет звездочек, то есть пользовательские, а не служебные учетные записи.

Учетная запись systemd-coredump к делу тоже не относится, поэтому остаются только пользователи root и некто с длинным буквенно-цифровым логином.