Love 日本語でウォークスルー Hack The Box Machine:
Hack The BoxのLoveのウォークスルー・ライトアップ(walkthrough/writeup)です。難易度はeasyとなっています。
※本記事はサイバー犯罪を助長するものではありません。悪用は厳禁です。
目次
HTB Love ウォークスルー・ライトアップ
サマリー
local shell取得まで
ターゲットポート:TCP 80 (http)
脆弱性:ターゲット上にはRemote File InclusionとRemote File Executionの脆弱性があった。
それを利用し、reverse-shell用のスクリプトをターゲットにアップロードし、local-shellを取得した。
local権限を取得したユーザ:「phoebe」
privilege Escalation取得まで
脆弱性:AlwaysInstallElevatedの脆弱性
root権限を取得したユーザ:「nt authority\system」(Administrator権限)
Information Gathering
ポートスキャン
それでははじめます。まずはターゲット上で動作しているTCPポートをnmapで探します。nmapについてはこちらを参照ください。
nmapの結果、上画像の通り、TCPポート番号80(http),443(https),3306(mysql),5000(http)が開いていることが分かりました。
また、ターゲットのコモンネーム(common name)が「staging.love.htb」であることも分かりました。
以下コマンドで、自分のマシンの「hosts」ファイルにターゲットのコモンネーム(「love.htb」、「staging.love.htb」)を追加しました。
sudo vim /etc/hosts
まずはターゲットのhttpサービスについて、調査していくことにしました。
ターゲットのhttpサービス調査
まず、firefoxを利用し、ターゲットにhttpアクセスしてみました。その結果、以下サイトにつながりました。
「Free File Scanner」というツールのようです。
色々試行錯誤した所、ターゲットのTCP番号5000(http)にアクセスすることで、以下のようなデータを抽出しました。
Vote Admin Creds admin: @LoveIsInTheAir!!!! 「Vote Admin」のクレジットがユーザ名「admin」、パスワード「@LoveIsInTheAir!!!!」だと分かりました。
この「Vote Admin」とは何かをもう少し調査していくことにしました。
ターゲットのhttpサービスを調査していった所、以下が見つかりました。
gobusterでディレクトリを探った所、「/admin」がみつかりました。
そのサイトにアクセスした結果、「vote」用のサイトをみつけました。
先程見つけたユーザ名「admin」、パスワード「@LoveIsInTheAir!!!!」を入力した所、ログインに成功しました。
ログイン後に「Vote」サイトを調査しました。
その結果、アイコン画像用にファイルアップロード機能があることが分かりました。
この機能は、画像データだけではなく、スクリプトもアップロードできるようでした。
この機能を利用し、local-shellを取得する方法を検討しました。
Local shellの取得
local-shell取得の方針
方針としては、①「Simple-PHP-Web-Shellツールとreverse-shell用のexeファイルをターゲットにアップロード」し、「②reverse-shell用のexeファイルを実行する」ことにしました。
①ターゲットへのファイルのアップロード
まず、reverse-shell用のexeファイルをmsfvenomを使って作成しました。
その後、作成したreverse-shell用のexeファイルと、Simple-PHP-Web-Shellツール(index.php)を
ターゲットにアップロードしました。
②reverse-shell用のexeファイルの実行
アップロードしたファイルは、ターゲットの「/imgaes」ディレクトリに格納されていました。
自分のマシンでmulti-handlerを仕掛けた後、ターゲット上のSimple-PHP-Web-Shellツール経由でreverse-shell用のexeファイルを実行しました。
その結果、「phoebe」のlocal-shellを取得できました。
Privilege Escalation(特権昇格)
Privilege Escalation用の脆弱性調査
Privilege Escalation(特権昇格)用の脆弱性を調査した所、以下が見つかりました。
いくつか脆弱性が見あたりましたが、今回は、AlwaysInstallElevatedの脆弱性を利用することにしました。
AlwaysInstallElevatedを利用した特権昇格
こちらを参考に、実際に攻撃しました。
上記の通り、「nt authority\system」(Administrator権限)のshellを取得できました。
flagを探す
use.txtはユーザ「phoebe」のデスクトップにありました。root.txtはユーザ「Administrator」のデスクトップにありました。
以上で、Loveのウォークスルーが完了です。