【HackTheBox write-up】StartingPoint Oopsie
はじめに
久しぶりにHackTheBoxに触ってLinuxサーバーのルートがとれたので記録
これでやっとStartingPointの2台を攻略
マシンについて
- NAME:Valentine
- OS:Linux
- IP:10.10.10.79
Enumeration
ポートスキャン
ブラウザでアクセス
ポートスキャンの結果、80番ポートが開いている事がわかったので、
実際にブラウザでアクセスしてみると以下のようなページが表示される
BurpSuiteを使用して通信を確認
cdn-cgi/login/script.jsへのGET通信があることがわかる
http://10.10.10.28/cdn-cgi/login/script.jsにアクセスすると、
以下のログインフォームが表示される
ユーザー名に admin と入力し、パスワードは、、、?
僕はここでパスワードの特定にかなりハマって公式のWalkThroughを見ました。
すると、パスワードに MEGACORP_4dm1n!! を"再使用"しろと書いてありました。
このパスワードが初見だったのでどこで使用したのか調べると、どうやら他のStartingPoint の Archetype というマシンの攻略に使用していたっぽいです。
username: admin / password: MEGACORP_4dm1n!! を入力してログインすると以下のページが表示される
上記バーの[Uploads]をクリックすると、
This action require super admin rights. が表示される
ここで、super admin 権限で webshell をアップロードするのではないかと推測を立て、上記バーの[Account]でユーザーを確認するも、ただの admin しかない
[Account]にアクセスした際のURLを見るとどうやら各ユーザーに id が割り振られているっぽい
Pythonでurllibを使用して id 1から100まで検索し、
結果をhtmlファイルに出力するコードを作成しsuper adminの情報を取得しました。
コードはGithub(下記リンク)にあげているので必要であれば使ってください。
使い方は readme.txt に記載してあります。
ちなみに公式WalkThroughでは、
BurpSuiteのSniperを使用した方法で super admin を特定しています。
Foothold
上記より、super admin のAccess IDが取得できたので[Uploads]にアクセス
BurpSuiteのInterceptをonにした状態で[Uploads]にアクセスし、リクエストのクッキー情報を書き換える
Cookie: user=34322 を super admin の id に変更して送信すると、
以下のページが表示される
[Uploads]ページのURLは下記のとおり admin.php により処理されている
http://10.10.10.28/cdn-cgi/login/admin.php?content=uploads
php用の webshell を用意する
上記で用意した php-reverse-shell.php の49行目付近の
CHANGE THIS とコメントのついている ip の値を変更する
[Uploads]ページのBrowseボタンから、webshell(php-reverse-shell.php) を選択し、
Upload ボタンをクリック
Terminal を新しく開き、ncコマンドを実行する
別の Terminal から、下記curl コマンドを実行し webshell を起動させる
ncコマンドを実行していたTerminalへ下記を入力し、bashを起動する
Lateral Movement
bash が起動したのでマシンの内部を調査
下記より user.txt を取得
root.txt は存在は確認できるものの中を見てもフラグは入っていなかった
/var/www/html ディレクトリを調査
ユーザー名とパスワードを取得
su コマンドを実行し、robert で root 権限を取得
Privilege Escalation
id コマンドを実行し、ユーザーの情報を調査
bugtracker というグループに所属していることを確認
find コマンドを実行し、group が bugtracker のファイルを探索
find コマンドにより得られたファイルの調査
file コマンドを実行し、ELF ファイルという情報が得られたため、
ファイルを実行する
Provide Bug ID に文字列を入力すると以下の文字列が表示される
root/reports/<Provide Bug ID> を cat していることが推測できる
相対パスを使用して cat を呼び出していることがわかったので、
PATHにカレントディレクトリを追加、cat コマンドに shell を追加して、
root に権限昇格させる
上記を実行すると、root に権限昇格している
/home/robert/root.txt を確認したがフラグを取れず、/root を確認したところ root.txt があったので cat で中身を確認するも表示されず、vi で中身を確認
これで root.txt 取得できた
感想
意外とサクサク進んだので近いうちに次のマシンに挑戦したいという気持ち
Practical Malware Analysis Chapter0 まとめ
会社で貸与された700ページ以上ある洋書なのでメモを取りながら読む。
自分は英語が読めるわけではないが、おすすめされた本なので読み始めた。
ざっくり大切なところをまとめたかったが、翻訳、意訳がへたくそなので読みずらいところもあります。すみません。。。
第0章
MALWARE ANALYSIS PRIMER
[概要]
マルウェア解析をする前に基本的なアプローチと、用語の定義、マルウェアのタイプについての説明。
マルウェア解析のゴール
通常、マルウェア解析はネットワーク侵入に対応するために必要な情報を提供すること。
典型的なゴールは、「何が起こったか」、「マルウェアが侵入したファイルとマシン全体」を正確に特定すること。
マルウェア解析のテクニック
解析方法は静的解析と動的解析の2種類に分けられる。
- 基本的な静的解析
実際の動きを見ないで実行ファイルを調査する方法。
悪意のあるファイルかどうか確認できる。
しかし、洗練されたマルウェアや重要な可能性を見逃した場合には特に効果が得られない。
- 基本的な動的解析
実際にマルウェアを動かして観察する方法。
しかし、動かす前に環境を構築する必要がある。
以上の2通りに関しては、特に専門的なプログラミングに関しての知見は要さない。
- 応用的な静的解析
マルウェアの内部をリバースエンジニアリング、逆アセンブルし、プログラムを読んで解析していく方法。
基本的な静的解析よりも逆アセンブルの専門的な知識が要求される。
- 応用的な動的解析
悪意のあるマルウェアを動かしている間、内部ではどのような挙動が見られるか、デバッグして観察する。
実行ファイルから詳細な情報を引き抜くテクニックがある。
マルウェアのタイプ
自分自身で攻撃者がコンピュータに侵入できる様な、悪意のあるコードをインストールする。
普段、ローカルシステム上で、権限が権限が有るものも、無いものも、攻撃者がコンピュータにアクセスしやすいコマンドを実行する。
バックドアに似て、攻撃者の侵入を助長する。
しかし、ある一つのコマンドコントロールサーバー(c2サーバーのこと?)から侵入し、すべてのマシンに感染する。
共通して、攻撃者がシステムに侵入してから最初にインストールする。
次々に悪意のあるコードやプログラムをダウンロードする。
- 情報を盗むマルウェア
犠牲者のコンピュータから情報を集めて攻撃者に送信する。
例)スニファー(sniffer)、パスワードハッシュ、キーロガー等
- ランチャー(Louncher)
悪意のあるコードは他の悪意のあるコードによって実行される。
一般的に、あまり普及していないテクニックを使用しているプログラムを隠すために用いられる。
悪意のあるコードは他のコードを隠すために設計されている。
バックドアなど、遠隔で攻撃者がアクセスするときに検出されずらいようにする。
- スケアウェアー(Scareware)
マルウェアは感染されたユーザーが怖がらせ何かを購入するようデザインされている。
表面上ではウイルス対策プログラムや、他のセキュリティ製品のふりをする。
しかしそのような”ソフトウェア”を購入してもスケアウェアを取り除くことはできない。
- スパム送信マルウェア
ユーザのマシンに侵入してスパムを送信する。
このマルウェアは攻撃者に利益をもたらす。
自分自身で悪意のあるコードをコピーして感染したコンピュータに付随する他のコンピュータにも感染する。
- ワーム、ウイルス
自分自身で悪意のあるコードをコピーして感染したコンピュータに付随する他のコンピュータにも感染します。
マルウェアを解析するための全般的なルール
- 細部にとらわれすぎないで。ほとんどのマルウェアは広大で複雑で、恐らく全ての個所を理解できないでしょう。カギとなる部分に集中して。
- 異なったツールとアプローチの仕方は他のjobにも利用できることを覚えておく。すべてのシチュエーションは異なる、そして様々なツールやテクニックは今まで学んだことに似ているか重なるだろう。
- マルウェアの解析はいたちごっこに似ている。新しいマルウェアの解析方法が開発されれば、マルウェアの開発者は解析を阻止するように応えるだろう。
電子書籍版はこちらにリンクを置いておきます。
個人的に物理本よりも電子書籍の方がよい気がします。
ページ数も多く重たいので。あと、洋書なので調べたい単語もすぐ調べられる方が便利ですし。。。
 |
価格:4,678円 |
iPhoneの通信をBurpSuiteでキャプチャ
会社でAndroidアプリの脆弱性診断の案件が入ったのでその勉強中。
目的
iPhoneの通信をBurpSuiteでキャプチャする。
・環境
攻撃端末 : windows10
診断対象 : iPhone8 / IOS 13.1.2
・方法
では、やっていこう
[windows10をホットスポットにする]
windows側で次の設定を行う
[windowsキー] > [設定] > [ネットワークとインターネット] > [モバイルホットスポット] > [インターネット接続を他のデバイスと共有します]
iPhone側で次の設定を行う
ホームメニューから
[設定] > [Wi-Fi] > [ネットワークを選択(SSIDはwindows10のネットワーク名)]
パスワードを入力して接続
[BurpSuiteでキャプチャ・改ざん]
windows10でIPアドレスを確認
[windowsキー + R] > [cmd] > [ipconfigコマンド] > [Wireless LAN adapter Wi-Fi]
BurpSuiteを起動し、上のツールバーから
[Proxy] > [Options] > [Proxy Listeners] > [ADD] >
・Bind to Port
8080番ポートを指定
・Bind ot address
Specific addressにチェック
先ほど確認したwindows10のIPアドレスを入力
> [OK]
iPhone8で
[設定] > [Wi-Fi] > [SSIDの横のiマーク(?)] > [プロキシを構成] > [手動] >
・サーバ
先ほど確認したwindows10のIPアドレスを入力
・ポート
8080番を指定
・認証
オフのまま
> [保存]
[Safari] > [「burp」で検索] > [CA Certificate] > [許可] > [閉じる]
続いて、設定画面に戻って以下の設定をする
[設定] > [プロファイルがダウンロードされました] > [インストール] > [パスコードを入力] > [インストール] > [インストール] > [完了]
windows10でBurp Suiteを確認するとパケットキャプチャできている(はず)
以上。
 |
Instant Burp Suite Starter【電子書籍】[ Luca Carettoni ] 価格:1,554円 |
 |
価格:3,730円 |
ハッキング・ラボを途中までやってみて。。。
4-1「Windows 7のハッキング」で自分がつまづいた箇所のまとめです。
同じようになってしまった人が解決できるように示しておきます。
実行環境
攻撃端末:KaliLinux
対象端末:Windows7
問題
p.253でWindows7のSYSTEM権限を奪取後にmeterpreterで以下のコマンドを実行してもハッシュが取得できない。
原因
p.138のコラム:Kali向けのエイリアスの紹介 その1
で紹介された以下のコードを実行した方は恐らく、Metasploit Frameworkのバージョンが上がっているので、本書で扱っているコマンドが使えなくなっています。
自分の環境では、metasploit v5.0.38-devとなっています。
(2019年8月22日現在)
対策
meterpreter で以下を実行する。
すると、hash値が取得できます。
画像では[+]下3行が取得したハッシュ。
参考
twitterでハッキング・ラボ著者のipusironさんがアドバイスをくださいました。
run hashdumpコマンドを実行した直後に、deprecated(非推奨)になったと出ていますね。
— ipusiron@技術書典7お54C『1日で自作するポータブル・ハッキング・ラボ』 (@ipusiron) 2019年8月21日
試してはいませんが、post/windows/gather/smart_hashdumpをmsfプロンプト側で実行すべきとのこと。
- こちらは本(冊子)です
 |
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習 [ IPUSIRON ] 価格:4,104円 |
- こちらは電子書籍です
 |
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習【電子書籍】[ IPUSIRON ] 価格:4,104円 |
CISCOのCCNAを受けることになりました。
今回CCNAを受けるにあたって、たまに進捗状況をあげていこうと思っています。
今後、受ける人がどのように勉強したら良いか示しておきます。
まだ、始めたばかりなので一緒に勉強していきましょう!(?)
誰かの為になれば幸いです。
CCNAについて
まず、「CCNAとは何か」を説明します。
CCNAはCISCOというネットワーク系の企業が提供するベンダー資格のことです。
また、CCNAは2部構成となっていて、前半がCCNA1、後半がCCNA2となっています。
受検方式
受験方式は2種類あります。
ざっくり説明すると、
・前後合わさった試験を1度で受ける方式。つまり、1科目のみの受験。
・または、前後別々に受ける2科目受験。
です。
受検料金
受験料については、
・1科目のみの受験は19,800円(税別)
・2科目受験は39,000円(税別)
となっており、別々に受けてもそこまで値段に差はないようですね。
また、CCNA1(100-105J)のみを受験し、合格すると、CCENTという別の資格となります。
使用する教材
- ICND1(100-105J)用のテキスト
 |
価格:4,104円 |
- ICND2(200-105J)用のテキスト
 |
価格:4,104円 |
これらのいわゆる白本2冊です。
これらが参考書として基本的なインプット用のテキストです。
続いて、アウトプット用の教材は、こちらのping-tというwebサイトです。
こちらでは無料でCCNA等の勉強ができる為、他のCCNA受験者の中でもかなり有名だそうです。
その他
現在(2019/07/30)はCCNAのバージョンが3.0となっていますが、2020年2月23日にバージョンが変わり、大幅に改定されます。
バージョン変更後のCCNAはCCNA(200-301)の1科目受験のみとなるそうです。
また、CCNAはバージョンが上がるごとに試験の難易度が急上昇しているそうで、くれぐれも、今受験をするか悩んでいる人や、勉強している人はバージョンが上がる前までに資格が取れるとラッキーですね。(いや、取れないとアンラッキーなのか。。。)
ラズパイでrc.localに変更を加えて起動時にエラーを出した時の対処法
クジラ飛行机さんの「やさしくはじめるラズベリー・パイ」のChapter4-3でのこと。
この章では"/etc/rc.local"を書き換え、ラズパイを起動した時にLCDにIPアドレスを表示する。
この時、rc.localに誤ったコードを入力すると起動しなくなってしまう。(自分がなってしまいました笑)
幸い、この本では事前に"rc.local.bak"というバックアップを取っていたので簡単に戻すことができます。
手順を以下に記述します。
(1)ラズベリーパイをモニターに繋いで起動する。
この時、SSH等では起動できない。
(2)Shiftキーを長押しして、リカバリーモードに入る。
(3)CUIでの操作ができるので、"rc.local"のあるフォルダを確認する。
基本的にはrootディレクトリの中のetcの中にある "/etc/rc.local"
etcの中にrc.local.bakを作成したので
このコマンドで"/etc"配下へ移動する。
(4)rc.localの内容を書き換える。
今回は事前にrc.local.bakを取ってあったのでrc.localにコピーする。
これだと、rc.localを書き換える権限がないので、
sudoコマンドで実行します。
これでrc.localの内容を書き換えることができました。
(5)rebootコマンドで再起動します。
(6)これでCGI画面のままだったらstartxコマンドでGUIに戻せます。
こっちが普通の本です
 |
やさしくはじめるラズベリー・パイ 電子工作でガジェット&簡易ロボットを作ってみよう 価格:2,678円 |
こっちは電子書籍です
 |
やさしくはじめるラズベリー・パイ 電子工作でガジェット&簡易ロボットを作ってみよう【電子書籍】[ クジラ飛行机 ] 価格:2,678円 |
「ビッグ・クエスチョン」 生物系単語 編
1週間ほど間が空いてしまいましたが、前回に引き続き、誰かの為にまとめておきました!
今回は、はてなブログの使いか方の勉強も込みで ”目次”も作ってみようと思います笑
では早速!
・目次
バイオスフィア
なんのこっちゃわからないのでgoogle先生に聞いてみましょう。
Wikiで調べてもバイオスフィアの情報はあまり多くありませんね。。。
バイオスフィアとは、人工的生物圏だそうです。(いや情報これだけでブログにするのもなあ。)
焦って調べた結果、わかったことは、、、
- アリゾナ州のオラクルという町に火星移住プロジェクトと称して模擬的に火星と類似した環境を作り出し「火星の環境で人間が生活できるのか」を実験しているバイオスフィア2なるものがあるらしい。
砂漠の中に建てられたもう1つの地球。バイオスフィア2 (Biosphere 2) アメリカ/フェニックス特派員ブログ | 地球の歩き方
- 奇妙な実験として知られている。
- 人間関係等により成功していない。
の3つです。なかなか調べても出てきませんでした。
ハビタブルゾーン
地球と類似する環境範囲内であれば人類の移住、生命の発生やその後の進化も容易なのでは?という仮説に基づく宇宙的空間領域の事。
この領域内の惑星は、ハビタブル惑星、また、その中でも地球と同じサイズまたはそれに近い惑星はゴルディックス惑星と呼ばれている。
また、惑星系のハビタブルゾーンは、ある星系において、中心星からの放射エネルギーが、生命発生の条件に適していると考えられる距離に当たる領域を指す。
この星系が惑星系を持ち、その領域にハビタブルな惑星や衛生が存在すれば、その星は生命の居住地として優れ、また地球外生命が存在する有望な候補であるとする。
その距離は、おおよそ惑星の表面温度が、生命が潜在的に生き延びられる液体の水を維持できるかもしれない程度としている。
クリスパー
これは、京都大学のwebサイトが詳しく書いていたのでこちらを紹介します。
http://www.tmd.ac.jp/grad/bac/CRISPR.html
また、これを読むにあたって僕が難しいと思った単語をまとめておきます。
- 獲得免疫(適応免疫)
感染した病原体を特異的に見分け、それを記憶することで、同じ病原体に出会った時に効果的に病原体を排除できる仕組み。
核膜をもたず、細胞内にむき出しの状態でDNAが存在する細胞によって構成される生物のこと。
- ファージ(バクテリオファージ)
細菌に感染するウイルスの総称。
こいつが感染した最近は細胞膜を破壊される溶菌という現象を起こし細胞を残さない。
- プラスミド
大腸菌などの細菌や酵母の核外に存在し、細胞分裂によって娘細胞へ引き継がれるDNA分子の総称。
 |
ビッグ・クエスチョン 〈人類の難問〉に答えよう [ スティーヴン・ホーキング ] 価格:1,620円 |
