まずnmapから

Kerberos認証があるのでおそらくActiveDirectry。とりあえずsmbclientでフォルダを見てみる。

Replicationにアクセスしてみるとactive.htbのフォルダがあったので、フォルダごとダウンロードした。中身を見てみるとGroups.xmlというファイルが興味深い。

Groups.xmlにはSVC_TGDというusernameと、暗号化されたCpasswordがある。Cpassword decryptで検索して出てきたgpp-decryptを使うとパスワードが入手できた。

smbmapを見るとUsersにアクセスできるようだ。まずuser.txtをゲット。

　ImpacketにはKerberosユーザーやクラック可能なチケットを調べるGetUserSPNs.pyというツールがある。これを使って取得できるチケットがないか調べるとAdministarのパスワードが入手できた。

これはhashcat用なのでhashcatで復号化するとAdminの認証情報が手に入る。

nmapから

　sshとhttpが稼働している。

　サイトにアクセスするとログインページと3つほど記事があるのみ。ソースコードを見てみるとsecret.txtがあるので表示してみるとパスワードらしき文字列が見つかる。これをbase64 -dしてみるとCarling2018!というパスワードが得られる。記事からユーザーはflorisと推測してログインしてみると、SuperUserでログインに成功した。

　サイト上には特に変化なし。試しにgobusterしてみると、administratorがあるようだ。先ほどの認証情報でログインできた。

　Super Userなのでリバースシェルをアップロードできそう。しばらくサイトを探してみるとTemplates/Beez3にアップロードできる箇所があった。ちなみに下のTemplateでも同様にできる。

　アップロードしたシェルのパスは、先ほどのgobusterからTemplateフォルダだと推測できる。Template/shell.phpは無理だったので、試しにTemplates/Beez3/shell.phpにアクセスしてみるとリバースシェルが得られた。

　www-dataのuser.txtはないのでflorisに昇格する必要がある。florisのフォルダを見てみるとpassword_backupというファイルがある。中身はASCII.textに16進数が書かれた内容だった。これをダウンロードしてみる。

　xxdを使って16進ダンプをしてみるとbzip形式だとわかる。ファイル形式をbz2に変えてbzi2でdecompressすると、形式がgz形式に代わる。ファイル形式をgz...と繰り返していくと最終的にパスワードを入手できた。ssh接続にも成功した。

　florisのフォルダにはpassword_backupの他にadmin-areaというディレクトリがある。見てみるとinput reportという二つのファイルがあり、それぞれroot権限がある。

単純にroot.txtを見るだけなら以下の方法で済む。

①outputはinputの情報をもとに表示していると考えられる。ルート権限を持っているのでrootフォルダにもアクセスできる。つまりinputをroot.txtのパスに設定すればroot.txtの中身を見ることができる。

もしくは

②ncを使って自分のターミナルにデータを送信させる(root.txtが見えるので下の画像には表示していない)

番外編　そもそも何をしているのか

　input outputが何をしているかを見るにはプロセスを見る必要がある。しかしcrontabやlinenumでは見ることができないのでpspyを使用する。

少し見にくいが、1分毎に以下のコマンドが実行されている。

/bin/sh -c sleep 1; cat /root/default.txt > /home/floris/admin-area/input

curl -K /home/floris/admin-area/input -o /home/floris/admin-area/report
/root/default.txtの内容をinputにコピーし、その内容をcurlを用いて表示させている。先ほどのurlを変更すると出力されたのはcurlコマンドのおかげだった。

③つまり先程のファイルを利用してsudoをパスワードなしで使えるようにすればよい。

florisのディレクトリにinput用のファイルを作りviで以下のように設定。inputのurlをfile:///home/floris/exploit/sudoersに変更ししばらく待つとsudo suがパスワードなしで実行できる。

ちなみにsudoer以外にもrootのid_rsaを出力させる手もある。

④実はboxが古いからかlinuxの脆弱性をついてroot権限を得ることができる。snap versionのsnapdを検索するとdirty sock(CVE-2019-7304)という脆弱性が見つかるのでこれを利用する。

まとめるにあたって以下のサイトを参考にした。
　

netosec.com

0xdf.gitlab.io

まずnmapから

　80/httpと445はおそらくsmbclient、5985はwinRMのデフォルト。情報を集めるためにsmbclientで接続してみるがNT_STATUS_ACCESS_DENIEDとでるので認証情報が必要。

　次にサイトにアクセスしてみる。

ログイン画面が出てくる。適当なパスワードを打ってもログインできずソースコードにも目立った情報はない。

　右下のLogin as guestにアクセスしてみると、AdminとHazardのやり取りとパスワードが書かれているページが見つかる。

$1$から始まるパスワードはjohnで解読できた。ただしどこで必要かは分からない。

次に下二つのパスワードだが、オンラインデコーダで探しても見つからない。johnも時間がかかるのみでおそらく見つからない。

　そこでコメントをよく見てみると以下の文面に気づく。

おそらくcisco関連で検索すれば見つかるだろう。以下のサイトを使うと解読できた。

www.ifm.net.nz

ここで今持っているユーザーとパスワードは以下の通り。

User：Hazard rout3r admin

pass：stealth1agent $uperP@ssword Q4)sju\Y8qz*A3?d

この組み合わせのうちどれかがsmbclientの認証情報だろう。試しにHazard/stealth1agentを使いpsexecでアクセスできると、共有フォルダはないが表示された。

番外編 crackmapexec

先ほどのuser情報をuser.txtに、passwordをpass.txtに保存した上でブルートフォースする方法もある。

この認証情報を使って他ユーザーの情報を探すことができる。impacketのlookupsidを使う。

ChaseとJasonのユーザー情報が見つかった。なお先ほどのcrackmapexecを使って同じことができる。

先ほどのユーザー情報とパスワードを使ってもう一度認証情報を探ってみる。

Chase/Q4)sJu\Y8qz*A3?dが見つかった。おそらくこれを使えばwinRMにアクセスできるはず。ポート自体は先にみたように開いているのでevil-winrmで接続してみる。

デスクトップを見るとtodo.txtが見つかる。

Chaseはissues listをチェックしているようだ。しかしフォルダを探してもlistは見つからない。appdataやprocessを見るとFirefoxの履歴が目立つ。

procdumpを使って一番CPU使用量の多いID6648の情報を集めてみる。

login.phpのページからlogin_passwordで文字列検索すれば見つかるはず。

少し見づらいが4dD!5}x/re8]FBuZがパスワード。Administrator/4dD!5}x/re8]FBuZを利用してevil-winrmでアクセスすればrootが得られる。