Devel 日本語でウォークスルー Hack The Box Machine:
Hack The BoxのDevelのウォークスルーです。難易度はeasyとなっています。
※本記事はサイバー犯罪を助長するものではありません。悪用は厳禁です。
目次
HTB Devel ウォークスルー
サマリー
local shell取得まで
ターゲットポート:TCP 21 (ftp), TCP 80 (http)
脆弱性:FTPサービスによるRemote File Inclusion。また、httpサービス経由で、遠隔からターゲットに埋め込んだファイルを実行できるようになっていた。
local権限を取得したユーザ:iis apppool\web
privilege Escalation取得まで
脆弱性:Windowsに内在した「MS10-015」の脆弱性
root権限:nt authority\system
Information Gathering
ポートスキャン
それでははじめます。まずはターゲット上で動作しているTCPポートをnmapで探します。nmapについてはこちらを参照ください。
上画像の通り、TCP21(ftp),80(http)が動作していることが分かりました。
ftpサービスへのanonymousログインが可能
nmapの結果で、「ftp-anon: Anonymous FTP login allowed」とあるように、ターゲットのftpサービスにはユーザ「anonymous」でのログインが可能なようでした。(ユーザ「anonymous」、パスワード「anonymous」でログインができる状態になっていました。)
そのため、ユーザ「anonymous」でftpサービスにログインし、ftpサービスの調査を始めることにしました。
実際にユーザ「anonymous」でftpにログインした所、「iisstart.htm」、「welcome.png」というファイルが見つかりました。そのため、このディレクトリはIISに関連するものだと推測しました。nmapの結果により、ターゲットにはHTTPサービスが動作していることを認識していたので、試しに「iisstart.htm」や「welcome.png」にhttp経由でアクセスできるかを試してみました。
上画像の通り、ftpのディレクトリで確認した「welcome.png」にhttp経由でアクセスすることができました。また、ターゲットのftpサービスではread/writeが可能な状態でした。(putコマンドでftp上のディレクトリにファイルを置くことができる状態でした。Remote File Inclusionという脆弱性に該当します。)
この段階で、local shellを取得する方法として、①ftp経由でreverse-shell用のファイルをターゲットに設置し、②http経由でreverse-shellファイルを実行する方向で、検討することにしました。
Local Shell取得
①ftp経由でreverse-shell用のファイルをターゲットに設置する
まずは、reverse-shell用のファイルを作成することにしました。
今回は、payloadをmeterpreterで動作するものにしました。また、ファイルの拡張子はwwwサーバで動作するように、「.aspx」で作成することにしました。
作成したファイルをputコマンドでftpサービスに置きました。dirコマンドで確認した所、作成した「test1.aspx」がftpディレクトリ上に置かれたようにみえます。
②http経由でreverse-shellファイルを実行する
reverse-shellファイルを実行する前に、reverse-shellの受けて側のマシンでmulti-handlerを設置しました。
multi-handlerを設置し、http経由で「test1.aspx」を実行した所、local-shellを取得することができました。「whoamiコマンド」で確認した所、取得したユーザは、「iis apppool\web」でした。
privilege Escalation(root権限取得)まで
Privilege Escalationのための調査
続いてprivilege Escalation(root権限取得)を検討していきます。まずは、root権限の取得に利用できそうな脆弱性を調査してきます。
「local_exploit_suggester」を使用し、privilege escalationに利用できそうな脆弱性を調査していきました。その結果、複数の脆弱性を確認しました。上画像にある通り、「ms10_015」、「ms10_092」、「ms13_053」等の脆弱性が確認できましたので、上から試していくことにしました。
MS10_015による攻撃
MS10_015による攻撃を実行した所、root権限(nt authority\system)を取得することができました。
flagを探す
user.txtは「babis」ユーザのディスクトップ上にありました。root.txtは「Administrator」ユーザのディスクトップ上にありました。
以上で、Develのウォークスルーが完了です。