はじめに
今回も難易度EasyのルームAgent Sudoのwriteupを書いていきたいと思います.
Task1:Author note
マシンを起動するだけですね.
Task2:Enumerate
ポートスキャン
とりあえずいつも通りポートスキャンします.
sudo nmap -p- -vv -T4 -O -sV 10.10.4.106
80番,21番,22番の3つのポートが開いているみたいですね.(sshとhttpとftp)
ディレクトリ探索
sudo gobuster dir -u 10.10.4.106 -w /usr/share/wordlists/dirb/common.txt -o gobuster_dir.log
特に何もありませんね.wordlistも変えてみましたが特に使えそうな情報は得られませんでした.
ブラウザから接続
Firefoxで該当のサイトに接続してみます.
How you redirect yourself to a secret page?に関してヒントを見るとxxxx-xxxxx
とあったのでこのページにあるuser-agentかなと思ったら,やっぱりそうでした.
What is the agent name?についてもヒントはYou might face problem on using Firefox. Try 'user agent switcher' plugin with user agent: Cとのことでした.
最後のCって何ですかね?
user agent switcherとはということで,そもそもuser agentとは利用者が利用しているOSやブラウザのことらしいです.
Burpsuiteを使ってみます.
Burpsuiteを起動→Proxyタブをintercept is onにして,ブラウザを開きます.
ここのアドレスバーの部分にIPアドレスを入力します.
このような画面が出てきます.右側にUser-Agentという項目があります.
ここを任意の値に変更できます.ヒントにuser agent: CとあったのでここをCにしてForwardします.するとページの内容が変わりましたね.
エージェント名はchrisのようです.
Task3:Hash cracking and brute-force
FTPパスワードについてです.
とりあえずAnonymousでログインできるか試してみます.
sudo hydra -l anonymous -P /usr/share/wordlists/password.txt 10.10.4.106 ftp
特になさそうです.
次に先ほどのchrisで試してみます.
パスワードはcrystalですね.
最初からchrisで試すべきでした.
これでFTPにログインしてみます.
3つのファイルがありますね.
*このファイルがダウンロードできないなぁと思ったらローカルの権限ミスでした.いつもこれに引っかかります…
getコマンドでダウンロードします.
こういう画像がダウンロードできました.
To_agentJ.txtはこんな感じです.
パスワードは偽の画像の中にあるよ見たいな感じですね.
Zip file passwordのヒントを見るとJohnをあります.「Agent J」というのはJohnのことなんですかね?
先ほどダウンロードした画像をexiftoolで見てみます.
cutie.pngのほうを見てみると
何か埋め込まれてるみたい?ですね.
Warning: [minor] Trailer data after PNG IEND chunkは画像が変更されている可能性を示すようです.
ここから何か取り出せないかなと思ったのですがわからなかったので,binwalkを使います.
binwalk -e cutie.png
zipファイルが取得できました.
開こうとするとパスワードを求められます.
john the ripperで解析します.
参考:https://qiita.com/chebo_taro/items/a8e8323ccb0716be7a72
zip2john 8702.zip > credential.hash
パスワードはalienですね.
これでzipファイルを解凍します.
QXJlYTUxは何かのパスワード?ハッシュですかね.
steghideコマンド試してみます.
steghide -sf cute-alien.jpg
パスワードにQXJlYTUx入れてみます.違いました.
とりあえず検索してみたらbase64関連みたいですね.
デコードしてみます.
echo 'QXJlYTUx' | base64 -d
'Area51'というのが出てきました.
これが問題のsteg passみたいですね.
これをもう一度steghideに試してみます.
message.txtが得られました.
jamesのログインパスワードがわかりましたね.
SSHのログインパスワードですかね?
Capture the user flag
先ほどのパスワードを使ってSSHでログインしてみます.
ssh james@10.10.90.235
user_flag.txtが見つかりました.
What is the incident of the photo called?とのことなのでscpでコピーしてきます.
scp james@10.10.90.235:Alien_autospy.jpg ./
画像が手に入りました.
これをgoogle画像検索してみるとロズウェル事件というキーワードが引っ掛かりました.
「ロズウェル事件・foxnews」で調べるとRoswell alien autopsyというのが引っ掛かりました.これが答えです.
Task5:Privilege escalation
いつも通りsudo -lで,rootで実行できるコマンド確認
これをネットで調べてみると,
https://www.jpcert.or.jp/newsflash/2019101601.html
こういう脆弱性があるみたいですね.
上のサイトを参考にsudo -u#-1 /bin/bash
これで権限昇格できましたね.
/root/root.txtに最後の答えがあります.
Agent Rが誰かについてもこの中に書いてあります.
おわりに
このルームは個人的に今までのルームで一番解いて楽しかったですね.
特に権限昇格できたときとかめっちゃ楽しいです.
今回はロズウェル事件がテーマということでalienだったり'area51'などUFOにまつわるキーワードがいくつか出てきてましたね.
*'area51'に関しては僕は知りませんでした.