목록분류 전체보기 (420)
외로운 Nova의 작업실
- 환경 공격자 : 10.10.14.7 타겟 : 10.10.10.7 - 스캔 nmap -Pn -n -p- -sV -sC -v --min-rate 2000 --max-retries 4 -oA nmap 10.10.10.7 되게 많습니다. 버전이 있는 부분으로 exploit 먼저 검색해봤습니다. OpenSSH 4.3 Apache httpd 2.2.3 Cyrus imapd 2.3.7 MiniServ 1.570 (Webmin httpd) HylaFAX 4.3.10 Asterisk Call Manager 1.1 일단 뭐... 아파치로 접속해보겠습니다. elastix이라는 옜날 스프트폰 서버를 사용하는 것 같습니다. 해당 elastix의 버전은 모르지만 한번 exploit을 검색해보겠습니다. 여러개가 있습니다. 간단..
- source code // Name: fho.c // Compile: gcc -o fho fho.c #include #include #include int main() { char buf[0x30]; unsigned long long *addr; unsigned long long value; setvbuf(stdin, 0, _IONBF, 0); setvbuf(stdout, 0, _IONBF, 0); puts("[1] Stack buffer overflow"); printf("Buf: "); read(0, buf, 0x100); printf("Buf: %s\n", buf); puts("[2] Arbitary-Address-Write"); printf("To write: "); scanf("%llu", ..
1. port scan result adree prot 10.10.10.75 22,80 2. initial access - nibbles plugin vulunability Vulnerability Explanation : i find out that web page use nibbles plugin and find out that plugin version is 3.7. this version has CVE-2015-6967. Vulnerability Fix : upate nibbles plugin Severity : critical Steps to reproduce the attack : using this vulnerability need to id and password. so, i should ..
- 취약점 대상 Nibbleblog 4.0.3 이하 버전들 - 취약점 원리 CVE-2015-6967는 Nibbleblog CMS의 4.0.3 버전에서 발견된 취약점으로, 임의의 파일 업로드를 통해 공격자가 원격에서 시스템에 악성 파일을 업로드할 수 있는 취약점입니다. 이 취약점의 원리는 다음과 같습니다. Nibbleblog CMS는 파일 업로드를 처리하기 위해 "nb/actions.php" 파일을 사용합니다. 이 파일은 업로드된 파일의 확장자를 검사하여 허용된 파일 형식인지 확인하고, 허용된 파일인 경우 "/content" 디렉토리 내에 업로드합니다. 공격자는 업로드된 파일의 이름을 조작하여 파일 확장자를 변경할 수 있습니다. 이를 통해 공격자는 악성 파일을 "nb/actions.php"를 통해 업로드하..
오늘은 nibbles 박스를 공격해보겠습니다. - 환경 공격자 : 10.10.14.7 타겟 : 10.10.10.75 - 스캔 nmap -Pn -n -p- -sV -sC -v --min-rate 5000 --max-retries 4 10.10.10.75 -oA nmap 웹서버가 있네요. 한번 들어가봅시다. 간단한 홈페이지네요. 소스코드를 봐보겠습니다. cntl+u /nibbleblog 디렉토리가 있는 것 같습니다. 한번 가보겠습니다. 오른쪽 밑에 Powered by Nibbleblog 가 보입니다. 보통 개발자나 라이센스를 표현하기위해 쓰는 문장이므로 플러그인 일 것 같습니다. 한번 검색해보겠습니다. 쉽게 블로그를 만들 수 있는 오픈소스 플러그인이였습니다. 플러그인을 어떻게 사용하는지 알아보겠습니다. ad..
- source code // gcc -o init_fini_array init_fini_array.c -Wl,-z,norelro #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(60); } int main(int argc, char *argv[]) { long *ptr; size_t size; initialize(); printf("stdout: %p\n", stdout);..
- 취약점 원리 P Support Plus Responsive Ticket System 7.1.3 버전에서 발견된 특정 취약점으로, 플러그인의 소스코드중 wp_set_auth_cookie() 함수의 잘못된 사용으로 인해 일어나는 취약점 입니다. 누구나 비밀번호를 알지 못해도 다른 사용자로 로그인할 수 있습니다. exploit 폼을 제출하게되면 다른 사용자의 쿠키값이 설정되며 로그인이 가능합니다. - Exploit 코드 # Exploit Title: WP Support Plus Responsive Ticket System 7.1.3 Privilege Escalation # Date: 10-01-2017 # Software Link: https://wordpress.org/plugins/wp-support-..
오늘은 brainfuck 머신을 풀어보겠습니다. - 환경 공격자 : 10.10.14.6 타겟 : 10.10.10.17 - 스캔 nmap -Pn -n -p- -sV -sC -v --min-rate 5000 --max-retries 4 -oA nmap 10.10.10.17 웹서버가 있습니다. 한번 접속해보겠습니다. nginx입니다. nginx는 가상화 호스트를 만드는데 쉬운 앱입니다. 가상화 호스트를 탐색하려면 domain name이 필요합니다. 보통 nmap이 스캔해줍니다. 다시 봐봅시다. www.brainfuck.htb 와 sup3rs3cr3t.brainfuck.htb가 있습니다. 이걸 /etc/hosts 파일에 넣어줍니다. 저 링크로 다시 접속해봅시다. www호스트가 wordpress로 만들었다고 말해..
- wpscan wpscan은 wordexpress 웹페이지의 취약점을 찾아주는 툴입니다. 기본사용법은 아래와 같습니다. wpscan --url {url} - option --disable-tls-checks : tls를 사용하지않습니다. --enumnerate u : 사용하는 user들을 스캔합니다.
- source code // gcc -o oneshot1 oneshot1.c -fno-stack-protector -fPIC -pie #include #include #include #include void alarm_handler() { puts("TIME OUT"); exit(-1); } void initialize() { setvbuf(stdin, NULL, _IONBF, 0); setvbuf(stdout, NULL, _IONBF, 0); signal(SIGALRM, alarm_handler); alarm(60); } int main(int argc, char *argv[]) { char msg[16]; size_t check = 0; initialize(); printf("stdout: %p\n..