Active 日本語でウォークスルー Hack The Box Machine:
Hack The BoxのActiveのウォークスルー・ライトアップ(walkthrough/writeup)です。難易度はeasyとなっています。
※本記事はサイバー犯罪を助長するものではありません。ハッキングやクラック等の悪用は厳禁です。
目次
HTB Active ウォークスルー・ライトアップ
Summary
local shell取得まで
ターゲットポート:TCP 22(ssh),139,445(samba)
脆弱性:ターゲットのSambaサービスでは、認証無しで「Replication」フォルダが閲覧できた。この「Replication」フォルダには、
「Active Directory」のユーザのクレデンシャル情報が格納されていた。この情報を利用し、ターゲットの「Active Directory」を調査した所、
「Administrator」のクレデンシャル情報を入手することができた。
local権限を取得したユーザ:「hype」
privilege Escalation取得まで
脆弱性:必要なし
root権限を取得したユーザ:必要なし
Information Gathering
ポートスキャン
それでははじめます。まずはターゲット上で動作しているTCPポートをnmapで探します。nmapについてはこちらを参照ください。
nmapの結果、上画像の通り、TCPポート番号22(ssh),139,445(samba)が開いていることが分かりました。
まずはsambaサービスから調査していくことにしました。
ターゲットのsambaサービス調査
とりあえず、smbmapを利用し、ターゲットのディレクトリを調査しました。その結果、「Replication」フォルダが読み取りできるようです。
「Replication」といえば、バックアップファイルが置いてあるイメージでしたので、これを調査していくことにしました。
smbclientを利用し、「Replication」フォルダにアクセスしました。
「Replication」フォルダを掘り下げていった所、「Groups.xml」ファイルを見つけました。
このファイル名は、一般的に「Active Directory」のセキュリティ用のコンフィグファイルとして使用されています。
そのため、ターゲットが「Active Directory」サーバーである可能性を考慮し、調査を続けていきました。
手に入れた「Groups.xml」ファイルを確認した所、以下のクレデンシャル情報を見つけました。
userName="active.htb\SVC_TGS"/
cpassword="edBSHOwhZLTjt/QS9FeIcJ83mjWA98gw9guKOhJOdcqh+ZGMeXOsQbCpZ3xUjTLfCuNH8pG5aSVYdYw/NglVmQ"
gpp-decryptを利用し、見つけたcpasswordを解読しました。
その結果、以下の通り、passwordを抽出しました。
GPPstillStandingStrong2k18この段階で、ターゲットの「Active Directory」上で、ユーザ「SVC_TGS」が存在することが分かりました。また、このユーザのcpasswordも分かりました。
そのため、このユーザ「SVC_TGS」でターゲットの「Active Directory」にアクセスし、調査を続ける方針としました。
local-shellの取得
Active Directoryを経由した調査
GetUsersSNPsツールを利用し、ターゲットのServicePrincipalNameを取得した所、「Administrator」ユーザのクレデンシャル情報を見つけました。
先程見つけたクレデンシャル情報を「cre1.txt」というファイル名で保存しました。
そして、John the Ripperを利用し解読しました。以下パスワードが見つかりました。
Ticketmaster1968Administrator権限の取得
Psexecツールを利用し、Administrator権限の取得を試みました。
上記の通りAdministrator権限(nt authority\system)を取得することができました。
flagを探す
user.txtは「C:\Users\SVC_TGS\Desktop」にありました。
root.txtは「C:\Users\Administrator\Desktop」にありました。
余談:マシンタイトルのActiveについて
ここまで来れば想像がつく通り、「Active Directory」からマシンタイトルの「Active」がつけられていると推測できますね。
以上で、Activeのウォークスルーは終了です。