Blocky 日本語でウォークスルー Hack The Box Machine:
Hack The BoxのBlockyのウォークスルー・ライトアップ(walkthrough/writeup)です。難易度はeasyとなっています。
※本記事はサイバー犯罪を助長するものではありません。ハッキングやクラック等の悪用は厳禁です。
目次
HTB Blocky ウォークスルー・ライトアップ
Summary
local shell取得まで
ターゲットポート:TCP 22(ssh),80(http)
脆弱性:ターゲットのhttpサービスでは、「WordPress」が動作していた。調査した所、クレデンシャル情報を入手できた。
このクレデンシャル情報を使用し、sshでlocal-shellを入手した。
local権限を取得したユーザ:「notch」
privilege Escalation取得まで
脆弱性:sudoコマンドが認証無しで使用できた。そのため、「notch」から「root」ユーザにパスワード無しで移行した。
root権限を取得したユーザ:root
Information Gathering
ポートスキャン
それでははじめます。まずはターゲット上で動作しているTCPポートをnmapで探します。nmapについてはこちらを参照ください。
nmapの結果、上画像の通り、TCPポート番号22(ssh),80(http)が開いていることが分かりました。
まずはhttpサービスから調査していくことにしました。
ターゲットのhttpサービス調査
まずは、httpでfirefoxにアクセスしました。その結果、以下サイトに接続しました。
続いてgobusterを利用し、フォルダの階層を調査しました。
その結果いくつか興味深いフォルダを見つけました。
特に「wp-admin」、「wp-content」というフォルダから、ターゲットでは「WordPress」が動作しているという推測ができました。
また、「plugins」フォルダにアクセスした所、以下に接続しました。
「BlockyCore.jar」をダウンロードし、jd-guiを用いて解読しました。
解読の結果、ユーザ名とパスワードを抽出しました。
User:root
Password:8YsqfCTnvxAUeduzjNSXe22
ただし、以下のような記載もあり、もしかしたら「root」というユーザ名が使えない可能性がありました。
(日本語訳:やること ユーザ名を入手する。BlockyCraftへようこそ!!!!)
実際にsshを使用して「root」ユーザでターゲットにアクセスした所、失敗しました。
そのため、別のユーザ名を探すことにしました。
ターゲットで「WordPress」が動いている推測がありましたので、wpscanを利用しました。
その結果、ユーザ名として「notch」を見つけました。
local-shellの取得
見つけたクレデンシャル情報でssh接続
以下クレデンシャル情報を使用してsshアクセスが成功しました。
User:notch
Password:8YsqfCTnvxAUeduzjNSXe22
Privilege Escalation
sudoによるroot権限の取得
以下コマンドを使用し、「notch」ユーザで利用できるsudoコマンドを調査しました。
sudo -l
その結果、以下の通りになっていました。
(ALL : ALL) ALL「root」のパスワード無しで、「root」ユーザに移行しました。
sudo suflagを探す
user.txtは「/home/notch」にありました。
root.txtは「/root」にありました。
以上で、Blockyのウォークスルーは終了です。