HackFest2016「Quaoar」があらわれた！

セキュリティ戦士の皆さん
こんにちは！
株式会社ギグーのtkmiiiです！

今日は初心者向けのマシンを一つ
皆さんと一緒に攻略していけたらと思います！

今回、攻略するのはこちら
→https://download.vulnhub.com/hackfest2016/Quaoar.ova
Quaoarというマシンを攻略していきます！
このマシンはHackFest2016というイベント用に作られたマシンで初心者の方がハッキングの雰囲気を味わうのにぴったりなマシンになっています！

また、今回の方法以外にも攻略する方法はあるので気になったらご自身で調べてみてください！

設定の際ネットワークアダプターはホストオンリー若しくはNATにて行うこと。（万が一の時にホストPCを守るためです）

当たり前ですが他人に対して行うと法律で罰せられます。犯罪です。絶対に他人に対して行わないでください。

推奨環境

VirtualBOXでの利用を推奨と記載あり
下記DLリンク

私の環境
攻撃用マシン：Kali Purple（192.168.56.103）
やられマシン：Quaoar（192.168.56.112）
※VirtualBOXでの仮想環境の構築について簡単に解説。

VirtualBoxを起動します。
メニューバーの「ファイル」をクリックします。
「仮想アプライアンスのインポート」を選択します。
インポートする仮想マシンのファイル（.ovfまたは.ovaファイル）を選択します。
設定を確認し、必要に応じて変更します。
「インポート」をクリックします。
インポートされた仮想マシンが「Oracle VM VirtualBox マネージャー」に表示されます。
仮想マシンの設定を確認します。
仮想マシンを起動します。
仮想マシンが動作していることを確認します。

設定については話すと記事書けちゃうのでまた書きます！！
下記にKaliのDLリンクも貼っておきます。

目標

マシンに侵入し、ルートアクセスを取得しフラグを見つけること。
今回使用したツール nmap dirb wpscan
nmap→ポートスキャンツール
dirb→存在するディレクトリをスキャンするツール
wpscan→WordPressに存在する脆弱性やユーザーなどをスキャンしてくれるツール（私も研究中）

情報収集

最初に攻撃用マシンのネットワーク構成を見て自身のIPを確認しておきましょう。
192.168.56.103

ターゲットマシンのIPはマシン起動後記載があります
192.168.56.112

見切れているけどこんな感じ

ポートスキャンとサービス識別

Nmapを使ってターゲットをより詳細に調査します

nmap -A -v 192.168.56.112 -oN nmap.txt

-A ターゲットIPを詳細にスキャンし、すべてのスクリプトをロードして、可能な限り包括的な情報をプローブする
-v 詳細なスキャンプロセスを表示する
-oN nmap.txtにプレーンテキスト形式でスキャン結果を出力する。

結果は以下のとおり：

nmapのスキャン結果を分析すると、ターゲットマシンはポート22と80が開いており、システムはLinuxであることがわかります。
ポート 22 は SSH サービス、ポート 80 は http サービスでそれぞれOpenSSHとApacheが動いていることがわかりました。
本当はより深くマシンを分析するべきですが、今回は初心者向けなのでこのままここを最初の侵入の入り口にしてしまおうと思います。

列挙

1.dirbというツールを使ってディレクトリのスキャンを行っていきます

（スクショ忘れましたすみません）

スキャンの結果見つかったrobots.txtをチェックするとwordpressディレクトリが見つかりました！

2.ユーザ列挙
WordPressが使われていることが分かったのでwpscanを使ってスキャンします！

wpscan --url h　ttp://targetip/wordpress --wp-content-dir wp-content --enumerate u

オプションについて詳細は下記サイトを参照のこと

2つのユーザーが見つかったので権限が高そうな
adminユーザーに adminという弱いパスワードでアクセスしてみる。

なんとログイン成功！（これまじでありえないです）
ここで色々怪しいものがないか確認します

シェル取得

エディットのところからコード埋め込めそうなことが分かったので

リバースシェルのコードを埋め込みます

そしたら
攻撃マシン側で
nc-lvnp 4444
でアクセスを待機しましょう

その後ブラウザで404.phpのアドレスにアクセスするとシェルが取得できます。

権限昇格からフラグ取得まで

シェルを取得したら自身で怪しいものを調べてみてください！
(たとえば何かの設定ファイルとか、、、)
必要なコマンド
ls
cat
pwd
(cd)

必ずどこかにrootのPWがあるはずです
探しましょう！！クリアまであと一歩です！
wp-○○.phpが怪しいです、、、

RootのＰＷがわかったらSSH接続を試みます
ログイン成功したらとりあえずls

後はflag.txtをcatしてクリアです！！！！！
おめでとうございます！！！！！！

まとめ

今回のマシンは脆弱性をつくというよりもセキュリティへの意識の低さをついた攻略でした。
今回弱かったところはadmin：adminでログインができてしまったところですね。
ページが編集できてしまうとこのようにコードを埋め込まれてシェルを奪われてしまいます。

また誰にでも設定ファイルが読めるようになっていたことも弱かった部分の一つです。
閲覧権限の設定とPWをしっかりと管理することで少なくとも今回の攻撃は防げました。
このようにもし自分だったらどうしようと考えることで守りに生かせます。
ここで大事なのはクリアしたことではなく、実際の攻撃が起きたときにどう生かすかです。
プログラミングの知識がなくてもセキュリティのためにできることはたくさんあります。

これからもセキュリティ戦士の道を歩んでいきましょう。

次回はもう少しレベルを上げたマシンを攻略していきます！