Writeup: Vulnhub DriftingBluse7 攻略

Vulnhub のDriftingBluse 7 を攻略したのでメモ。
今回は「えっ？」というくらいあっけなかった。

１．ダウンロード

下記のリンクからダウンロードできる。

DriftingBlues: 7

ダウンロード後、Virutal Boxにインポート。メモリを1GB、ネットワークインターフェースをホストオンリーアダプタに変更した後、起動する。
起動が完了すると画面に IPアドレスやURLが表示される。

DriftingBlues 7 起動画面

２．攻略

１）ポートスキャン

とりあえず nmap でポートスキャン。沢山のポートが開いている。

ポートスキャン

２）脆弱性探し

ブラウザでアクセスしてみる。
まずは 66/tcp  ( http://192.168.56.125:66/ )

66/tcp をブラウザで開く

いくつかリンクをチェックしてみたが、全てフェイクでリンク先のページは存在しない。ソースにも目を通してみたが特に気になる部分は無かった。

次に 80/tcp ( http://192.168.56.125/ ) をブラウザで開いてみる。
リダイレクトされて 443/tcp (https://192.168.56.125 )に接続した。

443/tcp にブラウザで接続。

"Eyes Of Network" という名前でググってみる。
どうやらシステム管理ツールのようだ。

EyesOfNetwork - Information system supervision solution

過去のバージョンで何か脆弱性があるかもしれない、既存の攻撃コードは無いかと Exploit DB で検索してみる。

OffSec’s Exploit Database Archive

検索してみると、幾つか攻撃コードが見つかった。
Metasploit で攻撃できるようなので試してみよう。

Exploit DB検索結果(eysofnetwork)

攻撃マシンで Metasploit を起動し、モジュールを検索する。

Metasploit モジュール検索

必要なオプションを設定し、このモジュールで攻撃可能かチェックする。
 5.3 かそれ以前の脆弱なバージョンであることが判った。

脆弱性のチェック

３）侵入

このモジュールで攻撃可能であることが判ったので、あとは実行あるのみ。問題無く侵入できた。

侵入成功

この "eye of network" は root 権限で動いていたようだ。
侵入後の権限も root だった。

権限確認

これで攻略完了である。フラグを見てみよう。

フラグ（/root/flag.txt)

３．別解（フラグを見る方法）

あっけなく終わってしまったので、別解を載せておこう。
フラグ(/root/flag.txt) を見るだけならもっと簡単な方法が存在する。

66/tcp で動いている Webサイト( http://192.168.56.125:66/ ) のディレクトリをスキャンすると、以下のように  .bash_history というファイルが有ることが判る。 

66/tcp  ディレクトリスキャンの結果

最初のポートスキャンの結果を思い出そう。66/tcp は  Python の SimpleHTTPServer が動いていた。

再掲：ポートスキャン結果

つまり、どこかのユーザーのホームディレクトリで下記のコマンドが実行されていることが推測できる

python -m SimpleHTTPServer 66

以上を考慮に入れて  curl で .bash_history をダウンロードしてみると、上記のコマンドは /root で動いており、フラグは  /root/flag.txt であることが推測できる。

.bash_history 

なので、 curl  http://192.168.56.125:66/flag.txt   でフラグが閲覧可能。
これが別解である。

別解：フラグを得る方法

今日はこれでおしまい。めでたし、めでたし。