まずnmapから
80/httpと445はおそらくsmbclient、5985はwinRMのデフォルト。情報を集めるためにsmbclientで接続してみるがNT_STATUS_ACCESS_DENIEDとでるので認証情報が必要。
次にサイトにアクセスしてみる。
ログイン画面が出てくる。適当なパスワードを打ってもログインできずソースコードにも目立った情報はない。
右下のLogin as guestにアクセスしてみると、AdminとHazardのやり取りとパスワードが書かれているページが見つかる。
$1$から始まるパスワードはjohnで解読できた。ただしどこで必要かは分からない。
次に下二つのパスワードだが、オンラインデコーダで探しても見つからない。johnも時間がかかるのみでおそらく見つからない。
そこでコメントをよく見てみると以下の文面に気づく。
おそらくcisco関連で検索すれば見つかるだろう。以下のサイトを使うと解読できた。
ここで今持っているユーザーとパスワードは以下の通り。
User:Hazard rout3r admin
pass:stealth1agent $uperP@ssword Q4)sju\Y8qz*A3?d
この組み合わせのうちどれかがsmbclientの認証情報だろう。試しにHazard/stealth1agentを使いpsexecでアクセスできると、共有フォルダはないが表示された。
番外編 crackmapexec
先ほどのuser情報をuser.txtに、passwordをpass.txtに保存した上でブルートフォースする方法もある。
この認証情報を使って他ユーザーの情報を探すことができる。impacketのlookupsidを使う。
ChaseとJasonのユーザー情報が見つかった。なお先ほどのcrackmapexecを使って同じことができる。
先ほどのユーザー情報とパスワードを使ってもう一度認証情報を探ってみる。
Chase/Q4)sJu\Y8qz*A3?dが見つかった。おそらくこれを使えばwinRMにアクセスできるはず。ポート自体は先にみたように開いているのでevil-winrmで接続してみる。
デスクトップを見るとtodo.txtが見つかる。
Chaseはissues listをチェックしているようだ。しかしフォルダを探してもlistは見つからない。appdataやprocessを見るとFirefoxの履歴が目立つ。
procdumpを使って一番CPU使用量の多いID6648の情報を集めてみる。
login.phpのページからlogin_passwordで文字列検索すれば見つかるはず。
少し見づらいが4dD!5}x/re8]FBuZがパスワード。Administrator/4dD!5}x/re8]FBuZを利用してevil-winrmでアクセスすればrootが得られる。