ペンテスト　結果

# ペンテスト　結果レポートに書くときは、チームで分担したわけではなく全員で強力しつつ調査を行ったため、それぞれの成果を合わせたものを書く。的な感じに書いといて ## to team3 - ip 10.0.3.1 - ポートスキャン - sudo nmap -sT 10.0.3.1 - open port - 25/tcp smtp - 53/tcp domain - 80/tcp http - 143/tcp imap - 587/tcp submission - 1843/tcp msnp - sudo nmap -sTVC 10.0.3.1 - open port - 25/tcp Postfix smtpd - 53/tcp tcpwrapped - 80/tcp Apache httpd 2.4.49 - 143/tcp Dovecot imaptd - 587/tcp Postfix smtpd - 1843/tcp OpenSSH 8.9p1 Ubuntu 3 - Webの調査 - whatweb 10.0.3.1 - Apache 2.4.49 - curl 10.0.3.1 - default web - gobuster dir -u http://10.0.3.1/ -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt - 特になし - nikto -h 10.0.3.1（脆弱性検査） - HTTP TRACE method is active suggesting the host is vulnerable to XSS - web exploit - Apache 2.4.49から脆弱性・exploitの検索 - CVE-2021-41773のexploitコードを使う - /etc/passwdがパストラバーサルで閲覧可能->脆弱 - ユーザの収集（ログインシェルにbashやsh等が指定されているユーザ） - root - team3 - webuser - dbuser - パストラバーサルでの調査 - 入手した各ユーザのホームディレクトリ調査 - /root, /home/team3, /home/webuser, /home/dbuser - ssh秘密鍵の調査 - <ホームディレクトリ>/.ssh/id_rsa - 特になし - コマンド履歴の調査 - <ホームディレクトリ>/.bash_history - 特になし - Apacheのconfig調査 - /usr/local/apache2/conf/httpd.conf - user, group: daemon - credential等はなし - /etc/shadow - 閲覧可能 - webuser, dbuser, team3のパスワードハッシュを入手 - 各パスワードをファイルにして、解析を行う（john --wordlist=/usr/share/wordlists/rockyou.txt <hash_file>） - webuser, dbuserのパスワードを入手 - webuser: welcome - dbuser: elephant - アクセス取得 - ssh（port 1843）にてwebuser or dbuser権限のシェルを入手 - 内部調査＆権限昇格 - sudo -l - sudo権限で実行可能なコマンド等はない - pspy - kali側からアップロード - プロセスの監視を行う - 特に怪しいプロセスはない - ps aux - pspyと同様 - 脆弱性検証（大沢くんとまさにやってもらったとこ） - CVE-2021-4034 - 脆弱ではない - CVE-2022-0847 - 脆弱ではない - version - OS: Ubuntu 22.04.1 - sudo: 1.9.9 - 他ホストの調査 - ダイナミックポートフォワードにて内部ネットワークにパケットを流す - sshとproxychainsを使用 - 怪しいホストは見つけられなかった ## to team1 - ip 10.0.1.1 - ポートスキャン - nmap -p- -sSCV 10.0.1.1 - open port - 22/tcp OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 - 80/tcp Apache httpd 2.4.49 - Webの調査 - 基本的にやったことはteam3の方と一緒 - /etc/passwd等のファイルは見れるが、他の悪用できそうなファイルが入手できなかった - /etc/passwd - ユーザの入手 - root - team1 - work - RCEの実行確認 - CVE-2021-41773はRCEも行える可能性があるので、コマンドの実行が可能であるか確認する - 実行不可