この記事ではHackTheBoxの難易度3.0〜3.9の各マシンの概要とおすすめのマシンを解説していきたいと思います。
攻略時期
勉強開始5ヶ月目(2025/02) 〜
マシン一覧
Wifinetic 3.0
ポイント Wifiルーターの攻略
①ftpでanonymousログインして取得できるファイルを取得
②①のファイルからユーザとパスワードの候補を取得
③sshで試すとログイン成功
④reaverを使いパスワードを取得
⑤④のパスワードがrootのパスワードとして利用可能
Sau 3.0
ポイント OSコマンドインジェクション
①ポート55555のrequest basketにエンドポイントを作成してポート80へforwardするように設定
②Maltrailの脆弱性を利用してusernameにOSコマンドを挿入してリバースシェル
③NOPASSWDで実行できるsystemctlコマンドの脆弱性を利用してroot権限でbashを実行
Return 3.0
ポイント Windows ActiveDirectoryマシン、WindowsでのPrivilegeEscalation
おすすめ ★★★ ActiveDirectoryマシンにふれる第一歩
マシン名の考察
「Return」というマシンは、ネットワークプリンターの管理パネルを通じてLDAP認証情報を取得し、その情報を用いてWinRMサービス経由でサーバーにアクセスする手法が特徴です。
Return」という名前は、攻撃者が悪意のあるLDAPサーバーを設定し、プリンター管理パネルにそのサーバーを指すように設定させることで、認証情報が攻撃者のサーバーに「戻ってくる(return)」ことに由来していると考えられます。
Optimum 3.1
ポイント HTTP File Serverの脆弱性攻略、MS16-032の脆弱性攻略
マシン名の考察
「Optimum」=「最適」。HFS はシンプルで軽量な HTTP サーバーであり、小規模ファイル共有には「最適 (Optimum)」なツールだった。
このマシンはuserシェル、rootシェルともにmsfconsoleでPOCが用意されています。
そのため、最短でmsfconsoleを2回実行するとrootシェルまで攻略できるので(解法が)最適化されているという意味かもしれません。
①msfconsoleで「windows/http/rejetto_hfs_exec」を実行してuserシェルを取得
②msfconsoleで「windows/local/ms16_032_secondary_logon_handle_privesc」を実行してrootシェルを取得
Antique 3.2
ポイント SNMP
マシン名の考察
HPで以前発売されていたプリンターサーバのJetDirectというのがこのマシンです。
①下記コマンドで取得した16進数の文字列をCyberChefでAsciiに変換
$ snmpwalk -v 2c -c public 10.10.11.107 .1.3.6.1.4.1
②telnetで接続しパスワードは①で取得したものを使うとuserシェルでログイン
③下記コマンドでCUPSの設定変更
$ cupsctl ErrorLog=/root/root.txt
④下記コマンドでroot.txtの内容取得(シェル取得ではない)
$ wget http://127.0.0.1:8080/admin/log/error_log?
