まずnmapから

80/http 2222/OpenSSHが稼働している。ホームページにアクセスするとただの画像しかない。gobusterで検索してみてもアクセスできるフォルダはない。

　--script=vulnで出てきたCVEもすべて刺さらない。こうなると怪しいのはフォルダになる。server-statusはおそらく意味がないのでcgi-binフォルダを調べてみる。apacheのcgi-binフォルダにはsh cgi pl形式のファイルが置かれるので、これを検索してみるとuser.shが見つかった。

　アクセスしてみるとuptimeらしき結果が出力されている。ボックスの名前とコマンドが実行されていることから推測すると、おそらくshellshockだろう。

　nmapで試しに検索してみると確かに引っかかった。

　shellshockのやり方は何通りかある。

①burpsuite

　User-Agentの欄にpayloadを流す

　User-Agentはcurlの-Aオプションで指定できるのでcurlを使ってもいい

 

②metasploitやスクリプトを使う

　metasploit、searchsploitで下記のツールが出てくる。これが一番楽。

③nmap

　nmapに--script-argでコマンドを渡す手もある。

 

権限昇格

　sudo -lでコマンドを調べてみるとPerlがパスワードなしで使えるようだ。GTFObinsで検索して出てきたpayloadを用いるとrootが得られる。