はじめに

• マシン名：Beep
• OS：Linux
• 目標：user.txtとroot.txtの中身の取得
• ターゲットIPアドレス：10.10.10.7

ポートスキャン

# nmap -A 10.10.10.7

色々ポートが開いている。

ブラウザで80番ポートへアクセス

ブラウザで80番ポートへアクセスするが、443ポートにリダイレクトされる。
elastixというものが動いているようだ。

ディレクトリスキャン

gobusterでディレクトリスキャンを実行。
※kオプションは、SSL証明書を検証しないオプション

# gobuster dir -u http://10.10.10.7 -w /usr/share/dirb/wordlists/common.txt -k

色々アクセスしてみたが、ヒントになるようなものはなかった。

エクスプロイトコード調査

elastixのバージョンなどは把握できていないが、エクスプロイトコードを探す。

# searchsploit elastix

上から4つ目のLocal File Inclusionが気になる。以下のコマンドでエクスプロイトコードをダウンロード。

# searchsploit -m 37637

中身を見てみると、真ん中下あたりに「#LFI Exploit」の後にパスが記載されている。

エクスプロイトコード実行

ブラウザにコード内に記載されていたパスを入力してみると、怪しげなページにアクセスできた。

見にくかったため、ページソースを参照する。

ユーザ名やパスワードと思われるものを発見。これを使ってsshアクセスしてみる。

（参考）sshのエラー対応

10.10.10.7のサーバに対してsshアクセスしようとしたら、以下のようなエラーが表示された。 サーバのOpenSSHが古いため（ver4.3）、クライアント側でいくつかのレガシーな暗号アルゴリズム（Their offer:以降）がサポート外になっているようだ。 サーバ側のOpenSSHのバージョンを上げれば良さそうだが、それはできないため、/etc/ssh/ssh_configに以下を追記したらエラーは表示されなくなった。

KexAlgorithms +diffie-hellman-group-exchange-sha1

sshアクセス

上述のエラー対応後、発見したユーザ名、パスワードでアクセス試行。結局、rootでアクセスできた。

あとはuser.txtとroot.txtを取得して終了。

user.txt：aeff3def0c765c2677b94715cffa73ac
root.txt：d88e006123842106982acce0aaf453f0