HackTheBox WriteUp:Lame
HackTheBoxに課金を初めて、一番簡単なマシンを攻略しました
************************************************************************
・偵察
nmapにて対象のスキャンを行った
nmap -sS -sV -p 1-20000 10.10.10.3 Starting Nmap 7.80 ( https://nmap.org ) at 2020-06-14 11:14 EDT Nmap scan report for 10.10.10.3 Host is up (0.21s latency). Not shown: 19996 filtered ports PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 2.3.4 22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0) 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP) 3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4)) Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 904.29 seconds
結果、動いている各種サービスを特定した
21 FTP 22 SSH 139 NetBIOS 445 NetBIOS 3632 DISTCCD
・侵入その1
ftpに対して、脆弱性を確認すべく検索を行った
searchsploit vsftpd kali@kali:~/SyachinekoLab/workspace/HTB/Lame$ searchsploit vsftpd 2.3.4 ------------------------------------------------------------------------------------------------------------------ ---------------------------------------- Exploit Title | Path | (/usr/share/exploitdb/) ------------------------------------------------------------------------------------------------------------------ ---------------------------------------- vsftpd 2.3.4 - Backdoor Command Execution (Metasploit) | exploits/unix/remote/17491.rb ------------------------------------------------------------------------------------------------------------------ ---------------------------------------- Shellcodes: No Result
結果、特定のエクスプロイトを発見したため、Metasploitで試した
結果的に、これはうまくいかなかった
・侵入その2
その後、別のルートからの侵入を検討した結果、sambaに対して、脆弱性を確認すべく検索を行った
kali@kali:~/SyachinekoLab/workspace/HTB/Lame$ searchsploit samba 3.0.20 ------------------------------------------------------------------------------------------------------------------ ---------------------------------------- Exploit Title | Path | (/usr/share/exploitdb/) ------------------------------------------------------------------------------------------------------------------ ---------------------------------------- Samba 3.0.20 < 3.0.25rc3 - 'Username' map script' Command Execution (Metasploit) | exploits/unix/remote/16320.rb Samba < 3.0.20 - Remote Heap Overflow | exploits/linux/remote/7701.txt ------------------------------------------------------------------------------------------------------------------ ---------------------------------------- Shellcodes: No Result
結果、特定のエクスプロイトを発見したため、Metasploitで試した
今度は、うまく動いてくれ、いきなりrootを奪取できたことを確認した
・探索
rootを奪取できたので、探索を行った
エクスプロイトした状態での探索が見づらかったので、ユーザを新たに作成し、sshで入りなおすこととした
この時、権限昇格が行えるように/etc/sudoersに権限を追加した
useradd test passwd test echo "test ALL=(ALL) ALL " >> /etc/sudoers
そのあと、以下のPATHでそれぞれフラグをゲットした
root@lame:/home/makis# cat user.txt 69454a937d94f5f0225ea00acd2e84c5 root@lame:~# cat root.txt 92caac3be140ef409e45721348a4e9df
※後から知ったが、nmapで-Aオプションを使うことで、sambaのバージョンを特定できた
最初から特定のバージョンを指定できたので、今後はこれを使うこととする
以上