외로운 Nova의 작업실
HTB - nineveh 본문
- 스캔
nmap -Pn -n -p- -sV -sC -v --min-rate 5000 --max-retries 4 10.10.10.43 -oA nmap
웹페이지를 방문해보겠습니다. 80포트부터 방문해보겠습니다.
고부스터로 어떤 디렉토리가 있는지 스캔해보겠습니다.
department가 있네요. 들어가보겠습니다.
이제야 무엇인가 할게 보입니다.
- 침투
sql 인젝션이 안통하니 히드라로 딕셔너리 공격을 해줍니다.
hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.10.43 http-post-form "/department/login.php:username=^USER^&password=^PASS^:Invalid Password" -V
나옵니다. 로그인해주겠습니다.
notes에 가보면 url상에 파일 경로가 보입니다. path를 조작해서 download할 수 있겠습니다. https 스캔으로 넘어가겠습니다.
- 스캔 2
https를 방문해보겠습니다.
고부스터로 스캔해주겠습니다.
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u https://10.10.10.43 -t 150 -k
db 디렉토리가 있씁니다. 들어가보겠습니다.
로그인 페이지입니다. 침투해보겠습니다.
- 침투 2
sql 인젝션이 안통하니 딕셔너리 공격을 해보겠습니다.
hydra -l admin -P /usr/share/wordlists/rockyou.txt 10.10.10.43 https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true:incorrect password." -V
로그인을 해줍니다.
phpliteadmin v1.9입니다. 관련해서 취약점이 있나 살펴보겠습니다.
https://www.exploit-db.com/exploits/24044
있습니다.
1. We create a db named "hack.php".
(Depending on Server configuration sometimes it will not work and the name for the db will be "hack.sqlite". Then simply try to rename the database / existing database to "hack.php".)
The script will store the sqlite database in the same directory as phpliteadmin.php.
Preview: http://goo.gl/B5n9O
Hex preview: http://goo.gl/lJ5iQ
2. Now create a new table in this database and insert a text field with the default value:
<?php phpinfo()?>
Hex preview: http://goo.gl/v7USQ
3. Now we run hack.php
db를 만들고 테이블을 만들고 text필드로 코드를 삽입하고 실행하면된다고합니다.
이런식으로 만들어줍니다. 여러번 인젝션코드를 해봤는데 저게 연결이 끊기지 않았습니다. 이후 파일다운로드 취약점으로 해당 파일을 열어줍니다.
근데 파일이 선택되지않았다고합니다. 파일을 선택하는 척해줘야하나봅니다.
그러면 쉘이 도착합니다.
- 권한 상승
sudo -l 을 해봤더니 tty때문에 안됩니다. 그럼 crontab을 봐보겠습니다.
root 권한으로 계속 report를 합니다. 뭔지모르겠으니 한번 파일들을 뒤져보겠습니다.
뭔가 report가 있습니다. 들어가보겠습니다.
해당 파일의 내용은 chkrootkit이 파일의 무결성이나 여러 악성 코드들을 탐지하고 난 후의 결과물입니다. 관련해서 취약점이 있나 찾아보겠습니다.
https://www.exploit-db.com/exploits/33899
한번 해당 취약점을 사용해보겠습니다.
조금만 기다리면 리버스쉘이 도착합니다.
'Server Penetesting > Hack-The-Box' 카테고리의 다른 글
HTB - Stocker (0) | 2023.05.13 |
---|---|
HackTheBox - Cronos (0) | 2023.04.26 |
HackTheBox - Beep (0) | 2023.04.24 |
HackTheBox - nibbles (0) | 2023.04.22 |
HackTheBox - brainfuck (0) | 2023.04.21 |