f:id:befs_anne:20201203233004p:plain

はじめに

サマリ

今回の対戦相手は「Lame」です。 www.hackthebox.eu

※以下、解法に関するネタバレです。

FTP
- バナーが vsftpd 2.3.4 だったので searchsploit で調べたところ、かの有名なバックドアが刺さるバージョンだった。
  - Metasploitでexploitしてみるも刺さらず。
  - エクスプロイト実行中の netstat を見ると6200番ポートへ通信していた。そういえば、このエクスプロイトは6200番ポートも開いている必要があった気がしてきた。
    - nmapを実行する時、まずは -p- を 付けずに 実行して、well-knownなポートの結果だけを見てから -p- と　-A を付けて再実行し、待ち時間中にできることをやる、ということをしている。metasploitした時点では、2回目の結果が出る前だったので6200が閉じていることが未確認だった。
Samba
- nmapのNSEスクリプトを試すも、 smb-vuln* 系には特にマッチせず。
- nmap -A の結果にバージョンが出ていたので、 searchsploit すると Username' map script' Command Execution (Metasploit) がヒットした。
- msfconsole で上記に該当する（っぽい）モジュール（multi/samba/usermap_script）実行したら、即rootのシェルを奪えてしまった。 /root/root.txt を開いて、own root。
- /home を確認すると makis というディレクトリがあり、中を覗くと user.txt があった。own user。

特になかった（！）。当然own userが先だろうと思っていたので、rootのシェルが取れた時は「あれ？僕また何かやっちゃいました？」って感じだったけど、公式Writeupも同じ手順で「immediately grant a root shell.」って書いてあった。なんだよ。

vsftpdに時間をかけないで済んだのは、たまたま netstat を見たからな気がする。Metasploit任せにしないで、コードを読むべきだし、せめてどんなフローが発生するかぐらいは見ておく。