2000P's Blog

最初のページ

このボックス

著者 taddei 時間 2020-04-07
all

これがチャレンジです。我々はhackademic rtb 1という脆弱なマシンを発見した。主な挑戦は、管理者特権で箱を根にして、旗を捕えます。

最初に、我々はブリッジモードの設定でVMwareで脆弱なイメージをホストしました。ターゲットは準備ができていますが、ターゲットマシンのIPアドレスを知りません。我々のネットワーク設定はブリッジモードであることを知っています。つまり、ターゲットマシンのIPは私たちの範囲にあります。そこで,我々はnmap ping scanを行い,どのホストが同じネットワークでアクティブであるかを確認した。nmapでnmap - sn 192.168.0 *を入力します。

NMAPスキャンが終了した後、我々は3つのアクティブホストを見つけたことがわかります。私たちはIPのうちの1つが私のルータに関連していると確認しました、もう一つは私のベースマシンのためです、そして、3番目(192.168.0.102)はVMwareマシンです。つまり、192.168.0.102は我々の目標です。

nmap - ss - sv 192.168.0.102を使ってターゲット192.168.0.102でnmapスキャンを行いました。

スキャンの結果は上で見ることができます。二つのポートはnmapによって検出された。一つはsshのための22です。そして、それは閉じられます、そして、もう一つはHTTPのためのポート80です。これは、Webサーバーがシステム上で実行されていることを意味します。nmapはApache httpd 2.2.15であることを示しています。ブラウザからIPを開いてWebアプリケーションがホストされているかどうかをチェックしました。

おっ!確かに、Webアプリケーションがあった!ロードされたWebページでは、このルートボックスのハイパーリンクがありました。

テキストは、チャレンジの詳細を説明した。ルートディレクトリにアクセスしなければならない。

だから、チャレンジは、アプリケーションからシステムを入力するタスクを開始しました。第一に、目標を列挙し始めなければならなかった。私たちは、そのページのソースコードをチェックして、アプリケーションがWordPressバージョン1.5.1.1 CMSで管理されているのを発見しました。

私たちはCMSの脆弱性に関する情報を探していました。私たちはWordPress 1.5.1.1にいくつかの功績を見出しました。以下はSQLインジェクションのexploitです。

まず、それをどのように動作するかを決定するために分析した。exploitがcatパラメータにSQLクエリを注入するのに気付きました。したがって、catパラメータがSQLインジェクションに対して脆弱であることを知りました。次に、アプリケーションでそのパラメータを見つけなければなりませんでした。Webページでは、2つのハイパーリンクがあることを確認しました。利用可能なテキストの最初の部分にはコメントがありません。

次に、両方のリンクをクリックすると、URLが動的または静的パラメータを含むかどうかを確認しました。Uncategorizedセクションでは、動的なパラメータがあります。それは我々が探していたパラメータです!パラメータをcatに指定します

SQLエラーメッセージを得ました。データベースはMySQLサーバを使用しているという。現在、脆弱なパラメータとデータベースサーバ名がありました。SQLインジェクションを実行するための最良のツールの一つであるSQLMAPツールを使用しました。データベースを列挙する最初のコマンドはsqlmap . py - u http :// 192.168.0.102 / hackDigicCount RTB 1 /ですか?は、プロキシを無視します

3つのデータベースを見出した。つのデータベースから、唯一のWordPressは、敏感な情報を持つ主なものです。それで、我々はWordPressからテーブルを掘りました。データベース名を列挙するためのコマンドはsqlmap . py - u http :// 192.168.0.102 / hackDigicCount RTB 1 /ですか?のワードプレス-テーブルS

私たちはそのコマンドを実行した後、9つのテーブルを見つけた。まず、どのテーブルにジューシーな情報があるかを確認します。WPHIGHユーザーテーブルの下にいるユーザーを見つけました。テーブルからカラムをダンプします。cat - d - d wordpress - T WPHIGHユーザ-カラム-プロキシを無視する

コマンドを実行した後、私たちはWPHIGHユーザテーブルに22カラムがあることがわかりました。列では、ユーザーのログインとユーザーフレンジーパスが利用可能であることがわかりました。

両方のカラム型のsqlmap . py - uからデータをダンプするには、http :// 192.168.0.102 / hackademicCount RTB 1 /ですか?cat =' d - wordpress - T WPHIGHユーザ-ダンプ- Cユーザ名ログイン、ユーザ名パス-無視プロキシ

SQLMAPコマンドを実行した後、テーブルからデータをダンプすることに成功しました。私たちはプレーンテキストでユーザー名を見ることができました、しかし、パスワードはハッシュで暗号化されました。

それで、我々はハッシュをクラックするために行きました。我々は、オンラインサービスを使用します。ようこそオンラインハッシュクラックウェブサイトがたくさんあります。

つのハッシュのうち、5つのハッシュが割れました。

我々が集めた情報は、ウェブサイトへのアクセスを得るのに十分でした。

次に、我々はサイトのWordPressのログインページを見つける必要がありました。

ブラウザでURLを開き、見つけました。

すべての収集された資格情報を使用して、ユーザーが管理者権限を持っているか確認します。そのユーザーはジョージミラーだった。

我々は、アプリケーションのすべての機能をチェックするためにログインした後、WordPress管理コンソールをブラウズしました。ファイルアップロード機能があることがわかった。

我々はアップロードオプションを選択し、我々はそれだけでJPG、JPEG、GIF、PNGなどのイメージ形式を許可することに気づいた。しかし、アップロード機能を編集するオプションがありました。我々は「オプション」をクリックした

許可されたファイル拡張子セクションでは、PHPを追加し、ファイルの最大サイズを1024 KBに増やし、変更を保存しました。今はマシンにアクセスするための逆シェルをアップロードする時でした。まず、PHPの逆シェルをダウンロードし、次のように変更しました。

IPセクションでは、IPアドレスを設定し、ポート領域で、システムによって使用されていないポート番号を設定します。変更が行われたらPHPファイルをアップロードします。

上記のイメージでは、hack . phpをアップロードしました。その後、確認されたファイルが正常にアップロードされたメッセージが表示されます。また、アップロードされたファイルにアクセスするための正確なURLも示しました。

アップロードされたhack . phpファイルがWPコンテンツフォルダにあることがわかりました。netcatを使ってアップロードされたPHPファイルから逆の接続を行いました。cmdを使ってnetcatを開き、php shellで指定したnc - lpp < port型を入力します。NC - LVPP 4444を使用しました

上で見ることができるように、Netcatは準備ができて、ポート4444を聞いていました。WPコンテンツフォルダのアップロードされたPHPファイルにアクセスしました。

これを実行し、netcatがポート4444を聞いていることを確認するコマンドプロンプトをチェックしました

我々は、ターゲットシステムへのアクセスを得た!システムのカーネルバージョンも表示されます。次に、lsを使ってディレクトリをチェックしました。

ターゲットはルートディレクトリにありました。ルートルートをcd rootでアクセスしようとしました。

上に示したように、ルートフォルダにアクセスする権限はありませんでした。それで、我々はエスカレートを認可しなければなりませんでした。ターゲットのOSがfedoraであることを発見しました。私たちはカーネルに特有の悪用をした。我々はいくつかを見つけたので、WGETダウンロードを使用してターゲットシステムにexploitをダウンロードしました

次に、gcc 44219 . c - o exploitでexploitをコンパイルしました

exploitをコンパイルした後、私たちはそれを実行しました

システムがうまく利用され、ルートフォルダにアクセスできました。我々は我々の特権を検証するためにhoamiコマンドを使用し、それは私たちが根を示した。ルートディレクトリにcd / rootを入力しました。次にlsを使ってルートディレクトリのファイルをチェックします。

Key . txtファイルを見つけました。cat key . txtで開きました。

参考文献:- http :// vulnhub . com / entry / hackademicount rtb 1 , 17 /

<高橋潤子>