[+] Typo
1. Information Gathering
- 포트 스캔하고
![](https://blog.kakaocdn.net/dn/bpePHZ/btrWBbr4v0r/aMp1OpISudcKcATTm1SfdK/img.png)
![](https://blog.kakaocdn.net/dn/FV8ag/btrWzQBCrWL/29HnXVXCeNwNmKJairodQ1/img.png)
- hosts 등록하고
![](https://blog.kakaocdn.net/dn/V4lNp/btrWDmZ1GTH/KJ61RKxXnVY8k7JsMzDAOk/img.png)
- 디렉터리 검색해 보고
: 80
![](https://blog.kakaocdn.net/dn/bBZSXn/btrWCeaWkE2/1NPoyznE0PHvW4QoRBPXH1/img.png)
: 8080
![](https://blog.kakaocdn.net/dn/Viaaq/btrWDQme4V2/w0TSpEPhAuOiFZkS3UFnKK/img.png)
사진 설명을 입력하세요.
: 8081
![](https://blog.kakaocdn.net/dn/bl5bf6/btrWzQ9uxbj/euNUYj4KPyn95B5VzDK9g0/img.png)
- 하나씩 붙어보고
: 80
![](https://blog.kakaocdn.net/dn/bLxjKj/btrWELkwfUh/4vFIb9QByDw2cRScYCqFvK/img.png)
- 기본 계정 테스트해보면
admin / admin
admin / password
root / root
root / password
user / user
user / password
: 이 중 하나 되는데
![](https://blog.kakaocdn.net/dn/3vFCs/btrWCcRKUMP/Al9jEXPcU7rMP8ZQbqVvgK/img.png)
: 권한이 제한됨
: 8080 phpinfo
![](https://blog.kakaocdn.net/dn/bAH5Cw/btrWzP3M01S/xo2ekJsxQnKkiCgBsjGnj0/img.png)
: 계정 정보는 없음
: 8081
![](https://blog.kakaocdn.net/dn/FkVEX/btrWDciRN8c/WTKzEdCC4rIyutuCb0KbVk/img.png)
: 로그인 시도
root / root
root / password
admin / admin
admin / password
root / admin
![](https://blog.kakaocdn.net/dn/c2fnKj/btrWCd4fkK5/WvZvHwi2Pb1i9405W697p0/img.png)
로그인 성공 후
필요한 정보 다 모음
이놈이랑 80이랑 연동되어 있는 것으로 보이니
관리자 계정 정보 확인 후 80에 로그인 시도.
2. Exploitation
DB 뒤져보면 계정 정보 확인이 가능하며
![](https://blog.kakaocdn.net/dn/m1LfR/btrWCdiNdod/llp9mBQ6KFjjwPmAIaT1y0/img.png)
argon2 해싱 알고리즘
(https://www.lesstif.com/security/argon2-password-hashing-95879198.html)
으로 비번이 저장되어 있는데
온라인 argon2 해시 생성기를 통해
새로운 비번 생성 후
(ttps://argon2.online/)
![](https://blog.kakaocdn.net/dn/yOz0Y/btrWCyUqVmy/vSGDYXYSECBzn9nQonSVkk/img.png)
해당 부분을 임의의 값으로 변경해 준 뒤
![](https://blog.kakaocdn.net/dn/bdVLrR/btrWDcpDCOJ/GMkWTWAP2bJUziAX4Pgma1/img.png)
admin / takudaddy
80에서 붙어보면
![](https://blog.kakaocdn.net/dn/bXsYNt/btrWBa7IJsD/XS7LltRCTzywO0GmJ1Rjk0/img.png)
admin으로 로그인 성공!
php 스크립트를 업로드해 보면
![](https://blog.kakaocdn.net/dn/la1H0/btrWCpwwWby/qt3II8e5MpOhk7tcuNNHQK/img.png)
![](https://blog.kakaocdn.net/dn/dWT49c/btrWCSkCIYK/zrFs1kjUU0T4SYAcXaosiK/img.png)
확장자 검증 로직이 있어 필터링 됨!
관리자 세팅 메뉴 들어가면
블랙리스트 등록된 확장자 확인이 가능하고
![](https://blog.kakaocdn.net/dn/bhdBAg/btrWCdC578Z/vBGcNmwBfWaikiz2SfAEl0/img.png)
삭제 후 등록하면 성공!
![](https://blog.kakaocdn.net/dn/cY5Slk/btrWCHcvL4j/BDhiV9A0pHj8dId01tZ1oK/img.png)
리스너 기동 후
파일 호스팅 하면
![](https://blog.kakaocdn.net/dn/0o3yR/btrWDdhLDz9/eB6XQEkcizpnBSyQqMzlpK/img.png)
![](https://blog.kakaocdn.net/dn/Lpy4l/btrWBbS5mO3/l9ueCSsAtJPpfKyghyrZDK/img.png)
침투 성공
3. Privilege Escalation
![](https://blog.kakaocdn.net/dn/ba0eVO/btrWCz6TEBm/5luI27noWJ5iPkR1YZiyEk/img.png)
![](https://blog.kakaocdn.net/dn/bIAxOX/btrWDP1VkGo/vA6y39wiH9D05tCwlDNfdk/img.png)
apache2-restart에 Set UID 걸려있고
root 권한으로 실행되는데 파일 살펴보면
아파치를 실행시키는 명령어가 포함되어 있음
/tmp에
변조된 service 파일 생성 후
환경 변수 설정해 준 뒤
해당 파일을 실행시키면
root로 쉘이 실행될 것.
![](https://blog.kakaocdn.net/dn/ebaCNF/btrWzRHkiij/t5kLu37QJ1p0Eht2wyCK1K/img.png)
![](https://blog.kakaocdn.net/dn/bdjdvz/btrWDEzs26q/FGC9h6iKqmyrQEdiYO9pPK/img.png)
끝