まずnmapから
80/http 2222/OpenSSHが稼働している。ホームページにアクセスするとただの画像しかない。gobusterで検索してみてもアクセスできるフォルダはない。
--script=vulnで出てきたCVEもすべて刺さらない。こうなると怪しいのはフォルダになる。server-statusはおそらく意味がないのでcgi-binフォルダを調べてみる。apacheのcgi-binフォルダにはsh cgi pl形式のファイルが置かれるので、これを検索してみるとuser.shが見つかった。
アクセスしてみるとuptimeらしき結果が出力されている。ボックスの名前とコマンドが実行されていることから推測すると、おそらくshellshockだろう。
nmapで試しに検索してみると確かに引っかかった。
shellshockのやり方は何通りかある。
①burpsuite
User-Agentの欄にpayloadを流す
User-Agentはcurlの-Aオプションで指定できるのでcurlを使ってもいい
②metasploitやスクリプトを使う
metasploit、searchsploitで下記のツールが出てくる。これが一番楽。
③nmap
nmapに--script-argでコマンドを渡す手もある。
権限昇格
sudo -lでコマンドを調べてみるとPerlがパスワードなしで使えるようだ。GTFObinsで検索して出てきたpayloadを用いるとrootが得られる。