Summary
1) 소스 코드 정보가 누출되는 구간 존재
2) 관리자 액세스 권한을 얻기 위해 재사용 가능한 비밀번호 존재
3) Command Injection이 가능한 힌트가 HTML 내 주석으로 존재
4) 루트 권한 상승을 위한 base32로 인코딩된 비밀번호 존재
1.Enumeration
: Rustscan & NMAP
: CURL
: Web Enum
> 관리자 계정 확인
admin.forum@easysetting.com
: 위에서 찾은 이메일 주소형식으로
register > 로그인 후 Routing 에러 페이지 내
경로들 확인하다 보니 다음 경로 접근이 가능,
또는 CURL 또는 응답 패킷의
주석 내 plaintext로 된 비밀번호 확인 가능하고
위에서 찾은 비밀번호로 로그인을 시도해 보면
> 관리자로 로그인이 가능,
관리자 로그인 시 일반 계정 로그인과 달리
serverinfo 메뉴가 활성화 되어 있다.
2. Exploitation
serverinfo 페이지 내 소스를 확인 후
주석을 제거, 또는 삽입한 뒤 브라우징 해보면
submit Query 기능이 활성화 되고
Command Injection이 가능한지 실험해보면
기능이 정상 활성화 되어 있어
정상적으로 ICMP 요청이 되고
파일 다운도 가능하다.
리스너 기동 후 리버스 쉘 요청!
침투 성공!
3. Exploitation
base64로 추정되는 문자열이 있고,
해독을 시도해보면
바이너리가 떨어지는데
base32 방식으로 디코딩을 시도하면
특정 사용자의 ssh private 키 확인
이를 통해 ssh 로그인을 시도해보면
끝
'OSCP > Proving Ground' 카테고리의 다른 글
| 26. Sona (GET TO WORK) - Linux (2) | 2022.08.15 |
|---|---|
| 25. Nibbles (GET TO WORK) - Linux (0) | 2022.08.15 |
| 23. UC404 (GET TO WORK) - Linux (mindset* 중요) (0) | 2022.07.26 |
| 22. Dibble (GET TO WORK) - Linux (node.js reverse shell) (0) | 2022.07.17 |
| 21. Cobweb (GET TO WORK) - Linux* (php 소스 분석 후 injection) (0) | 2022.07.16 |