セキュリティ技術メモブログ

日々の活動を記録する場所

【Hack The Box】Blocky Walkthrough

HTB

はじめに

  • マシン名:Blocky
  • OS:Linux
  • 目標:user.txtとroot.txtの中身の取得
  • ターゲットIPアドレス:10.10.10.37

ポートスキャン

# nmap -A 10.10.10.37

f:id:Paichan:20200505222240p:plain 21(ftp)、22(ssh)、80(http)が開いている。80番ポートはWordPressが動いている。

ブラウザで80番ポートへアクセス

ブラウザで80番ポートへアクセスするとこんな画面。 f:id:Paichan:20200505222441p:plain

ディレクトリスキャン

gobusterディレクトリスキャンを実行。

# gobuster dir -u http://10.10.10.37 -w /usr/share/dirb/wordlists/common.txt

f:id:Paichan:20200505222557p:plain /plugins/にアクセスすると、ファイルを2つ発見。 f:id:Paichan:20200505222818p:plain

BlockyCore.jarの解析

Downloadsディレクトリからカレントディレクトリにコピーし、ファイルタイプを確認する。

# cp /root/Downloads/* .
# ls | xargs file

f:id:Paichan:20200505223047p:plain

BlockyCore.jarを解凍し、解凍されたものを見てみる。BlockyCore.classには"root"という文字列とランダムな文字列(パスワード?)も見える。

# jar xvf BlockyCore.jar

f:id:Paichan:20200505223325p:plain

jd-guiでBlockyCore.classをデコンパイル。ランダムな文字列はパスワードであることが分かる。 f:id:Paichan:20200505223651p:plain

sshアクセス

勝利を確信し、rootユーザを上記で見つけたパスワードでsshアクセス試行したが、駄目だった。

# ssh root@10.10.10.37

f:id:Paichan:20200505223819p:plain

wpscan

80番ポートではWordPressが動いていることを思い出し、wpscanを実行。ユーザ名を列挙する--enumerate uオプションをつける。

# wpscan --url http://10.10.10.37 --enumerate u

f:id:Paichan:20200505224015p:plain f:id:Paichan:20200505224027p:plain 「notch」と「Notch」というユーザが列挙された。

sshアクセス 2

wpscanで列挙された「notch」でsshアクセス試行したところ、ログイン成功。パスワードはBlockyCore.classのデコンパイルで見つけたものを使用。 user.txtも発見できた。

# ssh notch@10.10.10.37
# cat user.txt

f:id:Paichan:20200505224348p:plain

権限昇格

rootに権限昇格するヒントを得るために、まずは以下を実行。

$ sudo -l

どのユーザにもなれて、どのコマンドの実行も許可されている。
catコマンドでroot.txtの中身を確認して終了。

$ sudo cat /root/root.txt

f:id:Paichan:20200505225021p:plain

user.txt:59fee0977fb60b8a0bc6e41e751f3cd5
root.txt:0a9694a5b4d272c694679f7860f1cd5f