【Hack The Box】Blocky Walkthrough
はじめに
ポートスキャン
# nmap -A 10.10.10.37
21(ftp)、22(ssh)、80(http)が開いている。80番ポートはWordPressが動いている。
ブラウザで80番ポートへアクセス
ブラウザで80番ポートへアクセスするとこんな画面。
ディレクトリスキャン
gobuster
でディレクトリスキャンを実行。
# gobuster dir -u http://10.10.10.37 -w /usr/share/dirb/wordlists/common.txt
/plugins/にアクセスすると、ファイルを2つ発見。
BlockyCore.jarの解析
Downloadsディレクトリからカレントディレクトリにコピーし、ファイルタイプを確認する。
# cp /root/Downloads/* . # ls | xargs file
BlockyCore.jarを解凍し、解凍されたものを見てみる。BlockyCore.classには"root"という文字列とランダムな文字列(パスワード?)も見える。
# jar xvf BlockyCore.jar
jd-gui
でBlockyCore.classをデコンパイル。ランダムな文字列はパスワードであることが分かる。
sshアクセス
勝利を確信し、rootユーザを上記で見つけたパスワードでsshアクセス試行したが、駄目だった。
# ssh root@10.10.10.37
wpscan
80番ポートではWordPressが動いていることを思い出し、wpscan
を実行。ユーザ名を列挙する--enumerate u
オプションをつける。
# wpscan --url http://10.10.10.37 --enumerate u
「notch」と「Notch」というユーザが列挙された。
sshアクセス 2
wpscan
で列挙された「notch」でsshアクセス試行したところ、ログイン成功。パスワードはBlockyCore.classのデコンパイルで見つけたものを使用。
user.txtも発見できた。
# ssh notch@10.10.10.37 # cat user.txt
権限昇格
rootに権限昇格するヒントを得るために、まずは以下を実行。
$ sudo -l
どのユーザにもなれて、どのコマンドの実行も許可されている。
cat
コマンドでroot.txtの中身を確認して終了。
$ sudo cat /root/root.txt
user.txt:59fee0977fb60b8a0bc6e41e751f3cd5
root.txt:0a9694a5b4d272c694679f7860f1cd5f