Lame 日本語でウォークスルー Hack The Box Machine:
Hack The BoxのLameのウォークスルーです。難易度はeasyとなっています。
※本記事はサイバー犯罪を助長するものではありません。悪用は厳禁です。
目次
HTB Lame ウォークスルー
サマリー
local shell取得まで
ターゲットポート:TCP 139,445 (Samba)
脆弱性:Samba ver3.0.20に含まれる脆弱性(CVE-2007-2447)によるRemote Command Injection
local権限を取得したユーザ:root
privilege Escalation取得まで
脆弱性:使用なし
※local shellを取得した際に、root権限が取得できた。そのためroot権限への特権昇格は必要なかった。
Information Gathering
ポートスキャン
それでははじめます。まずはターゲット上で動作しているTCPポートをnmapで探します。nmapについてはこちらを参照ください。
上画像の通り、TCP21(ftp)、TCP139,445(samba)が動作していることが分かりました。また、ftpのversionがvsftpd2.3.4、sambaのversionがSamba smbd 3.0.20-Debianであることが分かりました。この時点では、攻撃のベクターとして、ftp,sambaの両方の可能性が考えられます。今回はsambaから攻撃する方法を検討しました。
Samba version 「Samba smbd 3.0.20-Debian」の脆弱性調査
まずは、「Samba smbd 3.0.20-Debian」に脆弱性が内在していないかを調査しました。
その結果、画像内の「Samba 3.0.20 < 3.0.25rc3 - 'Username' map script' Command Execution (Metasploit) 」がlocalshell取得に役立ちそうです。この脆弱性を調査した所、CVE-2007-2447であることが分かりました。CVE-2007-2447の詳細についてはこちらを参照しました。※参照先は英語になっています。
実際にこの脆弱性を活用してlocalshellを取得できないか試してみることにしました。
Local Shell取得
CVE-2007-2447を活用した攻撃
この脆弱性「Samba 3.0.20 < 3.0.25rc3 - 'Username' map script' Command Execution (Metasploit) 」のMetasploitの部分に着目し、調査しました。 Metasploitを利用した本脆弱性の攻撃に関してはこちらを参考にしました。※参照先は英語になっています。
Metasploitを使用し、無事にlocal shellを取得できました。さらにidを確認した所、取得したユーザがrootであることが分かりました。特権昇格の必要はなさそうですね。続いてflagを探していきます。
user.txtを探す
「/home/user」ディレクトリを見つけました。また、「user」ディレクトリの直下には「makis」というフォルダがありました。以下にも人名らしいフォルダなので、このフォルダを探った所、「user.txt」を見つけました。
root.txtを探す
続いてroot.txtを探しました。「/root」ディレクトリの直下に見つけました。以上で、Lameのウォークスルーが完了です。