Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kgtakm(kgtakm)

TryHackMe Writeup:Blog

Posted at

最初に

今日はTryHackMeのBlogをやっていきます!

image.png

Task1 Blog

なんとなく設問の順番が気になるので、並び替えます。。。
設問の前に記載している番号がもともとの順番になります!

4. What CMS was Billy using?

まずnmapを実施します
image.png

タイトルがBlogなだけあって、ポート80番は開いていますね。
さっそくアクセスします

image.png

ITをテーマにしたBlogですね
一番下にCMSが記載されています!
image.png

5. What version of the above CMS was being used?

ページのソースを見てみると、バージョンの記載がありました!
image.png

「Wordpress 5.0 exploit」で検索してみると画像アップロードに関する脆弱性があるみたいですね~

3. Where was user.txt found?

ポート139と445も開いていたので、SMBも利用されているみたいです
smbclient -Lで共有されているアカウントを探します
image.png
(パスワードは何も入力していないです)

BillySMBが使えそうと思ってアクセスしてみると、パスワードなしで入れてしまいました!
image.png

3つの画像・動画がありましたので、すべてダウンロードしておきます

JPEGがあったので、stegseekしてみたところ、テキストが埋め込まれていました
image.png

内容は以下です(意味深(意味不明)ですね。。。)

You've found yourself in a rabbit hole, friend.

JPEGとPNGをBINWALKしてみたところ、PNGの方は何かありそうです
image.png

zlib-flateでZlibファイルを解凍してみましたが、何も記載されていませんでした。。。
image.png

PNGは見た目がQRコードだったので、以下サイトでURLにもどしてました

image.png

URLの先は「Billy Joel - We Didn't Start the Fire (Official HD Video)」のYoutubeでした(作者が好きなのか?!)

ーーーーーーーーーー
ここで完全に行き詰ってしまったので、Writeupを見てみる

wpscanだと、、、、(初心者)

さっそく使ってみるーー

まずはユーザーの列挙から!

image.png

bjoel, kwheelのアカウントがあるみたいです
image.png

この二つのアカウントについて、パスワードクラック(ブルートフォース)したところ、kwheelは取得できました
image.png

image.png

[SUCCESS] - kwheel / cutiepie1

この情報で、CVE-2019-8943の脆弱性を利用して、エクスプロイトしていきます

image.png

image.png

shellを起動します
image.png

user.txtを検索したらヒットしたので、開いてみるとあからさまに「違うよ」という文言が、、、、
image.png

仕方がないので、地道に探していくと、いい感じの文字数のフォルダがありました!
image.png

2. user.txt

/media/usbが所有者しか開くことができないので、sudo -lとSUIDビットを調べてみます
image.png

/usr/sbin/checkerが見かけないですね~

適当に実行してみたところ、Not an Adminとでるだけ。。。。
image.png

catで中身を調べてみますが、そのままで読めない。
image.png

ローカルにcheckerをダウンロードして、Ghidraでデコンパイルしてみます
image.png

undefined8 main(void)

{
  char *pcVar1;
  
  pcVar1 = getenv("admin");
  if (pcVar1 == (char *)0x0) {
    puts("Not an Admin");
  }
  else {
    setuid(0);
    system("/bin/bash");
  }
  return 0;
}

このコードは環境変数adminの値がNULLなら、Not a Adminと出力して、NULLでなければ、Rootでシェルを開くみたいです

では、さっそく環境変数adminに適当な値をセットしてみます
image.png

その後に、/usr/sbin/checkerを実行したら、Rootでシェルが起動しました!
image.png

あとは、/media/usb/user.txtを開くだけです

1. root.txt

一つ前で、Root権限でシェルを実行できたので、そのまま/root/root/txtをひらけばフラグが取れます!

最後に

今回学んだことは以下2つです

  • Wordpressにはwpscan
  • 実行ファイルはGhidraでデコンパイル

メモ

wpscan --url http://10.10.84.92 --enumerate uの出力

[i] Updating the Database ...
[i] Update completed.

[+] URL: http://10.10.84.92/ [10.10.84.92]
[+] Started: Wed Oct 16 22:06:27 2024

Interesting Finding(s):

[+] Headers
 | Interesting Entry: Server: Apache/2.4.29 (Ubuntu)
 | Found By: Headers (Passive Detection)
 | Confidence: 100%

[+] robots.txt found: http://10.10.84.92/robots.txt
 | Interesting Entries:
 |  - /wp-admin/
 |  - /wp-admin/admin-ajax.php
 | Found By: Robots Txt (Aggressive Detection)
 | Confidence: 100%

[+] XML-RPC seems to be enabled: http://10.10.84.92/xmlrpc.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%
 | References:
 |  - http://codex.wordpress.org/XML-RPC_Pingback_API
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_ghost_scanner/
 |  - https://www.rapid7.com/db/modules/auxiliary/dos/http/wordpress_xmlrpc_dos/
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_xmlrpc_login/
 |  - https://www.rapid7.com/db/modules/auxiliary/scanner/http/wordpress_pingback_access/

[+] WordPress readme found: http://10.10.84.92/readme.html
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] Upload directory has listing enabled: http://10.10.84.92/wp-content/uploads/
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 100%

[+] The external WP-Cron seems to be enabled: http://10.10.84.92/wp-cron.php
 | Found By: Direct Access (Aggressive Detection)
 | Confidence: 60%
 | References:
 |  - https://www.iplocation.net/defend-wordpress-from-ddos
 |  - https://github.com/wpscanteam/wpscan/issues/1299

[+] WordPress version 5.0 identified (Insecure, released on 2018-12-06).
 | Found By: Emoji Settings (Passive Detection)
 |  - http://10.10.84.92/, Match: 'wp-includes\/js\/wp-emoji-release.min.js?ver=5.0'
 | Confirmed By: Meta Generator (Passive Detection)
 |  - http://10.10.84.92/, Match: 'WordPress 5.0'

[i] The main theme could not be detected.

[+] Enumerating Users (via Passive and Aggressive Methods)
 Brute Forcing Author IDs - Time: 00:00:02 <=====================================> (10 / 10) 100.00% Time: 00:00:02

[i] User(s) Identified:

[+] bjoel
 | Found By: Wp Json Api (Aggressive Detection)
 |  - http://10.10.84.92/wp-json/wp/v2/users/?per_page=100&page=1
 | Confirmed By:
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)

[+] kwheel
 | Found By: Wp Json Api (Aggressive Detection)
 |  - http://10.10.84.92/wp-json/wp/v2/users/?per_page=100&page=1
 | Confirmed By:
 |  Author Id Brute Forcing - Author Pattern (Aggressive Detection)
 |  Login Error Messages (Aggressive Detection)

[+] Karen Wheeler
 | Found By: Rss Generator (Aggressive Detection)

[+] Billy Joel
 | Found By: Rss Generator (Aggressive Detection)

[!] No WPScan API Token given, as a result vulnerability data has not been output.
[!] You can get a free API token with 25 daily requests by registering at https://wpscan.com/register

[+] Finished: Wed Oct 16 22:06:49 2024
[+] Requests Done: 75
[+] Cached Requests: 5
[+] Data Sent: 14.343 KB
[+] Data Received: 21.861 MB
[+] Memory used: 163.02 MB
[+] Elapsed time: 00:00:21
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?