2021/08/26

Ypuffy 日本語でウォークスルー Hack The Box Machine:

Hack The BoxのYpuffyのウォークスルー・ライトアップ（walkthrough/writeup）です。難易度はmediumとなっています。
※本記事はサイバー犯罪を助長するものではありません。ハッキングやクラック等の悪用は厳禁です。

HTB Ypuffy ウォークスルー・ライトアップ Hack The Box

Summary

local shell取得まで

ターゲットポート：TCP 22(ssh),389(ldap),139,445(samba)
脆弱性：ターゲットでは「ldap」が認証無しで動作しており、「samba」のクレデンシャル情報を入手できた。
「samba」上では、「SSH」用の鍵ファイルが入手できた。その鍵を利用し、SSHでshellを取得した。
local権限を取得したユーザ：「alice1978」

privilege Escalation取得まで

脆弱性：ターゲット上では、自己認証局が動作していた。この自己認証局経由で、「root」ユーザ用の鍵ファイルを登録した。
この鍵を利用してSSHでrootのshellを取得した。
root権限を取得したユーザ：root

Information Gathering

ポートスキャン

それでははじめます。まずはターゲット上で動作しているTCPポートをnmapで探します。nmapについてはこちらを参照ください。

nmapの結果、上画像の通り、様々なTCPポート番号が開いていることが分かりました。
まず、「anonymous」アクセスが許可されているldapのサービスを調査することにしました。

ターゲットのldapサービス調査(TCPポート番号389)

ターゲットのldapを調査した所、以下のクレデンシャル情報を見つけました。

userid:alice1978 sambaNTPassword: 0B186E661BBDBDCF6047784DE8B9FD8B

「samba」という記載から、このクレデンシャル情報がsambaサービス（TCPポート番号139,445）で利用できるのではと考えました。
そこで次に、ターゲットのsambaの調査を実施しました。

ターゲットのsambaサービス調査(TCPポート番号139,445)

先程ldapで見つけたクレデンシャル情報を使用して、sambaサービスの調査を実施しました。
その結果、「alice」というディレクトリにアクセスできるようになりました。

この「alice」ディレクトリを調査した所、「my_private_key.ppk」を見つけました。
この「my_private_key.ppk」を自分のマシンにダウンロードしました。

local shellの取得

SSHでのログイン試行

先程sambaから「my_private_key.ppk」という鍵ファイルを見つけました。
そこでこの鍵ファイルを使用して、ターゲットにsshを実施しました。

まず、puttygenを使用して、
「my_private_key.ppk」からopenssh用の鍵を作成しました。（「id_rsa」という名前で作成しています。）

その鍵を使用して、sshを試みた所、local-shellを取得できました。取得したshellは、ユーザー「alice1978」のものでした。

Privilege Escalation

Privilege Escalationのための脆弱性調査

続いてPrivilege Escalation用の脆弱性を調査していきました。
ターゲットの「/etc/ssh/sshd_config」を確認した所、以下記載がありました。

「root」ユーザに対して、上記見つけたコマンドを入力した所、「principal」が取得できました。しかし、「key」ファイルは取得できませんでした。

そこで、この「principal」を利用して、rootユーザの「key」ファイルを登録することを考えました。

「root」ユーザへSSHを試す

「SSH」用の鍵を作成しました。先程見つけた「principal」を利用し、「root」ユーザ用の鍵として登録しました。
その鍵を利用して、SSHで「root」のshellを取得できました。

flagを探す

user.txtは「/home/alice1978」にありました。
root.txtは「/root」直下にありました。

以上で、Ypuffyのウォークスルーは終了です。

今まで記事にしたHack The Boxのマシンは以下にまとめています。

HTB