Writeup: Vulnhub LazySysAdmin 攻略

Vulnhub の LazySysAdmin を攻略したのでメモ。
今回は簡単。サクッと攻略できた。

１．仮想マシンのダウンロード

下記のリンクからダウンロード。サイズは 479MB。

LazySysAdmin: 1

ダウンロードしたZip を解凍し、Virtual Box へインポートして起動。
メモリは 512KB で問題無く動作する。軽い！
安全のため、ネットワークインターフェースは「ホストオンリーアダプタ」を使用。

２．攻略

１）ポートスキャン

とりあえず、ターゲットのマシンの IPアドレスを調べる。
IPアドレスは 192.168.56.117  のようだ。

nmap: Pingスキャン

ポートスキャンしてみると派手にポートが開いている。
OpenSSH, Apache, Samba, MySQL が動いているようだ。

２）脆弱性探し

80/tcp が開いているので、とりあえずブラウザで眺めてみる。
ソースもチェックしてみたが特に手掛かりは無かった。

スクロールしてみるとエジソンの名言が貼ってある。
「私は失敗してない。１万通りのダメな方法を見つけただけだ。」
まぁ、諦めないことが大事、というところか。

エジソンの名言

念のために robots.txt もチェックしておこう。
ほう。。なんか意味ありげだなぁ。

robots.txt

次に、139/tcp , 445/tcp で動作しているSamba をチェックしてみよう。
スキャンにはenum4linux を使う。

このツールはSMBサーバ用の定番ツールで、サーバーが公開している共有フォルダや、システムのローカルユーザーの情報を列挙することができる。

使い方は下記のURLに詳しく書いてある。

enum4linux - Portcullis Labs

アクセス可能な共有フォルダ（//192.168.56.136/share$ ) が見つかった。

共有のスキャン（enum4linux)

システムに登録されているユーザー（togie）も１つ見つかった。

ユーザー情報のスキャン（enum4linux）

共有フォルダにアクセスしてみる。
どうやら、先ほどチェックしたWebサイトのドキュメントルートのようだ。
赤枠部分は何やら面白そうなので、後でチェックしてみよう。

deets.txt をダウンロードして内容をチェックしてみるとパスワードが書いてあった。

deets.txt

３）侵入

これまでの調査でユーザー名（  togie ）とパスワード（12345）が見つかったので、SSHで接続してみる。
あっさりとログインできてしまった。。

４）root権限奪取

このユーザーが sudo で実行できるコマンドを調べてみると、root 権限でなんでも実行できることが判った。

sudo -l

となれば、あとは簡単。sudo で 直接 、rootユーザー に化ければ良い。

さて、フラグを見てみよう。
フラグは proof.txt 。random strings には特に意味は無さそう。。

flag

これで攻略完了。めでたし、めでたし。