はじめに
今回は難易度Easyのルームtomghostをやっていきたいと思います.
ポートスキャン
いつも通りのポートスキャンです.
sudo nmap -p- -vv -T4 -O -sV 10.10.212.123
今回はいつもと違って珍しくいろんなポートが開いてますね.
TomcatとかJservとかが動いてますね.
とりあえず8080番でHTTPが動いているので見てみます.
ルームの最初のほうに脆弱性関連のことが書かれていたので調べてみます.
「Tomcat 9.0.30 vulnerabilities」と調べるとそういう脆弱性があるようです.
参考:https://github.com/Hancheng-Lei/Hacking-Vulnerability-CVE-2020-1938-Ghostcat/blob/main/CVE-2020-1938.md
*これをそのままクローンして実行したらエラー出ますが少し修正すれば大丈夫です.
TypeError: makefile() got an unexpected keyword argument 'bufsize'のエラーはbufsize=0のbufsizeを消せばいけました.
TypeError: sequence item 0: expected str instance, bytes foundは最後のprintのクオーテーションの前にbを付ければいけます.
python3 CVE-2020-1938.py
第1引数は標的のIPアドレス,-pでJservのポートを指定します.
最初はtskyfuckで試してみましたが\tもエスケープシーケンスですね.
これでSSHログインします.
ssh skyfuck@10.10.212.123
find / -name user.txtで探してみます.
/home/marlin/user.txtにあります.
Privilege escalation
取り合えずsudo -lをしてみますが見れません.
credential.pgpとtryhackme.ascがあります.
tryhackme.ascがPGPカギになっているようです.
取り合えず復号のためにSCPでコピーしてきます.
gpg2john tryhackme.asc > hash.txt
sudo john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
gpg --import tryhackme.asc
gpg --decrypt credential.pgp
ここに先ほど解析したパスワードを入れる.
これでSSHログイン
ssh marlin@10.10.212.123
zipコマンドが使えるみたいです.
gtfobinsで調べてみると使えそうなのがあったので試してみます.
rootになれました.
/root/root.txtにあります.
おわりに
gtfobinsのありがたさを感じましたね.
PGPやASCファイルについては全然詳しくないのでこの辺りも勉強したいと思います.