nmapから
20/ssh 80/httpが開いている。まずサイトにアクセスしてみる。
apacheのデフォルトページが出てくるということは、他のページを探す必要がありそう。gobusterでディレクトリを探してみる。
/music /sierra が気になる。それぞれのフォルダを探してみるとmusicのloginからonaに飛ばされることに気づいた。さらにonaのDOWNLOADリンクからOpenNetAdmin Ver18.1.1が使用されていることが判明した。
searchsploitで検索するとヒットしたので使えるものがないか探す。すると以下のサイトにちょうどよさそうなものを見つけた。
これを用いるとwww-dataとして侵入できた。
cdがうまく機能しないがcatやlsは絶対参照で指定することができる。何か使えるデータがないか探すとlocal/config/database_settings.inc.phpからパスワードを見つけた。
試しにona_sysで色々試してみるがログインできない。ユーザー名を探すために/etc/passwdを探してみるとjimmyとjoannaのユーザー名が見つかる。
ssh接続で試してみると、jimmy/n1nj4W4rri0R!で接続に成功した。
idを見てみるとinternalグループに属しているのが分かる。var/www/internalというフォルダがあり、main.php logout.php index.phpを見つけた。
main.phpにはjimmyの別パスワードがありmain.phpにはjoannaの秘密鍵を表示するページが見つかる。試しにphpで実行してみても表示されないこと、URLにinternalを入力してもページが表示されないことから、おそらくlocalhostで閲覧できるページだと考えられる。
/etc/apache2/sites-availableにあるinternal.confを見てみるとポート52846で稼働している。linpeasにも同様に情報がある。
jimmyはアクセス権限があるのでcurlを使って表示させることができる。またsshの-Lからlocalhost:52846に接続することでブラウザに表示させることができる。
main.phpにあったパスワードはRevealedとわかった(johnを使用)ので、jimmy/Revealedでログインすることもできる
ssh接続しようとするとパスワードが求められる。これもjohnで解読しbloodninjasとわかるのでこれでログインができる。
sudo -lすると/bin/nano /opt/privがroot権限で実行できる。
GTFOBinsでnanoを検索するとCtrl+R Ctrl+Xの後 reset; sh 1>&0 2>&0でroot権限を取得できるようだ。