Elbrown

SwagShop - 가혹하지만 꼭 풀어보아야하는 문제.- sudo에 대해 잘 이해하고 있는가?- Exploit 디버깅해서 스크립트 수정할 수 있는가?- 스크립트 파일에 대한 설명, 주석에 대해 이해하였는가?- Exploit-DB에 등록된 스크립트는 완벽하지 않다.오래전에 올라온 스크립트라 라이브러리의 EOL같은 문제로 실행이 안될 수 도 있고...실행중인 서비스가 제작자에 의해 커스터마이징되어 특히 경로 부분이 수정될 수 있다.따라서, 이런 부분을 수정해줘야 한다. 디버깅하는 훈련이 필요하다. WriteUphttps://initinfosec.com/writeups/htb/2020/02/01/swagshop-htb-writeup/ 이니셜 쉘 nmap 결과 80포트가 오픈 됨magento 프레임워크를 사용하..

Irked - 어렵지 않은 난이도, 좋은 문제라고 생각함.- 1차 시험떄 느꼈지만, 구글링이 필요한 문제를 낸다. 이런 유형의 문제는 시험에 나올 가능성이 높다고 본다.- 구글링 후 추가적인 Software를 설치하는 것을 예상하지 못하면 시험 때, 당황 할 수 있다. Nmap 22...80...111.. rpcbind6697.. ircs-u8067...56813..65534... Enumeration IRC 관련 포트가 열려 있다. 웹 서버에 접속하였을때도 이미지명에 irc가 포함되어 있다.rpc 관련 문제같아서 Enumeration 후 관련 포트 연결을 시도해 봤으나 모두 실패.NC로 접속하여도 핵심 단서를 얻을 수 없었다, 그런데 접근 실패 매세지가 발생하여 혹시 다른 방벙으로 접속이 가능한지 생각..

October- OSCP 범위를 벗어난 문제 1. October CMS- 버전에 해당하는 exploit 취약점 있는가?- admin 구글링, 브루트포스- 디폴트 패스워드 시도 2. 권한상승- Smash the Stack 버퍼오버플로우, NX/DEP,ASLR 보안 플래그가 존재함- 범위를 벗어나므로 진행 Xhttps://www.hackingdream.net/2019/08/hackthebox-october-walkthrough.html 기타 정리 1. passwd에 등록된 사용자와 동일한 계정의 해쉬가 존재하는가?WEB폴더 -> DB.php -> 데이터베이스 계정 정보-> mysql 접근 -> 유저hash 획득 -> 존더리퍼 -> 동일한 비밀번호로 SSH 또는 su 접근 시도 2. DB서버가 root사용자에..

HTBNineveh: 난이도 쌉쌉어려움 1. 웹퍼징할 때, common.txt에 없는 리스트 시도해봐야 함...2. HOST로 지정된 주소와 IP로 접근하는 방식에 차이가 있었음. vhost 지정때문에 접근이 안되기도함3. 히드라 사용할때 http,https 등 IP(host)주소에 프로토콜을 넣으면 안됨. (Https 브루트포스 지원함, 비밀번호만 공격시 아이디는 아무값 넣어주면됨)4. searchsploit에 취약점이 나오지만 보안약점이 수정된 래빗홀(phpliteadmin) 일 수 있다. - 여러번 해봐도 잘 안된다면 다른 방법과 길이 없는지 생각해봐야 함 - 또한 특정 행위, 예를 들어 업로드까지 가능하다면 다른 취약점 백터와 연계될 수 있음을 생각해봐야한다. - 파일 업로드가 되고 경로까지 알 ..

허트블리드를 전혀 예상하지 못 했기 때문에 어려웠다. 또한 ssh 키파일의 유저가 누군지 알아차리기 힘들었는데 이부분을 제외하면 머신 구성은 제법 괜찮아 보인다. 문제 풀이nmap 스캔시 별다른건 없었고 ssh 버전이 낮은 것이 눈에 띄었다.다만, searchsploit으로 검색해도 별건 안나와서 넘어갔던게 화근이였던 것 같다.정보 수집시 구글링도 반드시 같이하자. 허트블리드는 nmap 스크립트도 지원한다.nmap -p 443 --script ssl-heartbleed 서치스플로잇searchsploit heartbleed32745.py nmap 풀포트스캔 팁nmap -vvv -sT -p- --min-rate 5000 --max-retries 1 -oN alltcp 10.10.10.79grep -v -e ..

웹 브루트포싱 gobuster vs dirb vs wfuzz 웹은 높은 확률로 php언어가 나오므로 확장자 추가 체크해주자 dirb 아이피 -X .php 웹 쉘이 업로드되는 위치는 어디인가? => 이것 또한 퍼징으로 알아낼 수 있다. => /uploads : 403 Forbbiden nc쉘 => tty쉘 업그레이드 (완전한 쉘 아님): 웹쉘은 가상쉘이 아니기 때문에 sudo, su가 불가능함 /bin/bash -i 루트 권한상승 스크립트를 돌리면 수상한 setuid 파일을 찾을 수 있다. searchsploit을 검색하여 exploit을 찾을 수 있다. exploit은 쉘 파일 형태로 작성 되었으며 자동으로 컴파일 후 실행하게끔 작성되어 있다. 문제는 타겟 서버에 쉘 파일 실행시 에러가 발생한다는 것이다..

이 문제는 굉장히 어렵다.... OSCP 수준을 한참 넘어섰다고 본다. Node.js, mongodb에 대한 부분을 알 수 있어서 좋긴했다. User 플래그 따는건 인정, Root 플래그는 선넘었다 ㄹㅇ.... 인가 미흡에 따른 취약점, 계정 DB 정보가 노출된다. 자세히 안보면 놓치기 쉽다. /api/users /api/users/latest hash-identifier로 해쉬 값 확인 후 john 돌려주면 바로 비밀번호가 해독된다. john --format=Raw-SHA256 hash.txt 어드민 로그인을 하면 backup 파일을 받을 수 있다. Node.js 코어 코드인 app.js에 DB 암호가 저장되어 있다. >cat app.js const url = 'mongodb://mark:5AYRft7..

dns zone transfer 에서 단순히 도메인 게싱이 필요하다. 아무리 Enumeation을 하여도 도메인과 관련된 단서를 찾을 수 없었다. 결국 Writeup를 보았는데 도메인명을 다른 머신들을 풀었던 경험으로 때려맞추는 수 밖에 없다고한다. Enumeration으로 단서를 찾을 수 없는 문제는 타임컨슈밍을 유발한다. 푸는사람 의욕을 저하시키는 쓰레기같은 문제다. 루트쉘 따기까지는 어렵지 않다. SQL Injection bypass Command Injection Crontab exploit

배운점 1. 커널 익스는 메이저 버전만 일치하다면 Exploit 가능성이 있다. 그 이유는, searchsploit 검색 제목과 내용이 다른 경우가 있기 때문이다.. 제목은 2.6.37로 나와있지만, nelson.c 코드의 첫번째 줄을 보면 2.6.37 이하는 모두 해당된다고 나와있다. 3. 익스플로잇 코드 사용전에 잘 읽어보자. 컴파일 방법이 나와있다. 4. DB자체에서 보안성 강화를 위해 계정별로 명령어 제한을 걸 수 있다. outfile, load file 5. Enumeration은 필수, 숨겨진 디렉토리, 소프트웨어가 있다면 searchsploit을 검색하자 6. ssh key 방식 로그인을 추가하고 싶다면 유저의 홈디렉토리에 write 권한이 있어야한다. 7. 파일업로드 테스트시 큰 범주에서 ..

SQLInjection SQLI을 의도한건 문제인건 알았지만, 화면에 에러가 출력되지않아서 Blind인잭션을 사용해야 하는 줄 알았다. 블라인드는 스크립트가 아니면 상당히 오래걸린다. 따라서, sqlmap을 사용하였다. 몰랐던 사실 xxx.com?cod=-1 파라미터에 음수 또는 의도하지 않은 값을 입력하면 화면이 깨진다. 이 상태에서 union select 기법으로 출력되는 위치를 파악할 수 있었다. union으로 출력 메세지를 확인 가능하므로 load_file과 into outfile 기법을 사용하여 한줄 웹쉘을 생성하여 실행시킬 수 있다. Manual SQL Injection은 내 블로그에 정리 해둠 https://myreversing.tistory.com/306?category=870793 Lat..