[Linux] FriendZone

OSCP/HackTheBox

[Linux] FriendZone

우와해커 2020. 8. 26. 16:41

Nmap Enumeration 옵션 --sC, --min-rate=1000

- 대상서버에 DNS 서비스가 실행되고 있다면 dns에 대해 Enumeration을 시도해야한다.

- SSL인증서에 호스트 주소로 추정되는 값을 사용한다. commonName=friendzone.red

This server open DNS server and also can find vhost name in commnName

53/tcp  open  domain      ISC BIND 9.11.3-1ubuntu1.2 (Ubuntu Linux)
| dns-nsid: 
|_  bind.version: 9.11.3-1ubuntu1.2-Ubuntu

139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
443/tcp open  ssl/http    Apache httpd 2.4.29
| http-methods: 
|_  Supported Methods: OPTIONS HEAD GET POST
|_http-server-header: Apache/2.4.29 (Ubuntu)
|_http-title: 404 Not Found
| ssl-cert: Subject: commonName=friendzone.red/organizationName=CODERED/stateOrProvinceName=CODERED/countryName=JO
| Issuer: commonName=friendzone.red/organizationName=CODERED/stateOrProvinceName=CODERED/countryName=JO
| Public Key type: rsa
| Public Key bits: 2048

DNS Lookup (ZoneTransfer)

- Dig axfr 호스트 @IP

- 출력된 호스트 정보를 /etc/host에 추가하고 웹브라우저에서 접속해본다.

root@kali:/HTB/FriendZone# dig axfr friendzone.red @10.10.10.123

; <<>> DiG 9.16.2-Debian <<>> axfr friendzone.red @10.10.10.123
;; global options: +cmd
friendzone.red.		604800	IN	SOA	localhost. root.localhost. 2 604800 86400 2419200 604800
friendzone.red.		604800	IN	AAAA	::1
friendzone.red.		604800	IN	NS	localhost.
friendzone.red.		604800	IN	A	127.0.0.1
administrator1.friendzone.red. 604800 IN A	127.0.0.1
hr.friendzone.red.	604800	IN	A	127.0.0.1
uploads.friendzone.red.	604800	IN	A	127.0.0.1
friendzone.red.		604800	IN	SOA	localhost. root.localhost. 2 604800 86400 2419200 604800

SMB Enumeration

- 139,445 포트 오픈 및 netbios 정보가존재한다면 아래의 Enumeration 명령어를 쳐봐야한다.

Anonymous 접속이 허가되고 있는지 확인

- rpcclient를 통해 서버,계정 정보를 확보할 수 있다.

- smbclient의 경우 업로드, 다운로드, 읽기(실행) 권한이 가능한지 체크해봐야한다.

- 중요한 단서를 얻을 수 도 있고 업로드가 가능하다면 추후 RCE와 연계될 수 있다.

- 그럴리는 없겠지만 읽기(실행)까지 가능하다면 리버스 쉘을 통해 바로 Pwn이다.

- 키 포인트: 업로드가 된다면 해당 파일을 어떻게 실행하도록 만들 수 있는지 다양하게 생각해보자.

nbtscan -r 10.10.10.123

smbclient -L //10.10.10.123
smbclient -U '' //10.10.10.123/general

rpcclient -U '' 10.10.10.123

enum4linux -a 10.10.10.123

Sticky bit and WorldWritable File

- 수작업 명령을 통해 스크립트로 운이좋다면 Enumeration보다 빠르게 취약한 설정을 찾을 수 있다.

find / -perm -4000 -type f 2>/dev/null
find / -user root -perm -002 -type f 2>/dev/null

Cron Enumeration

- 크론잡 확인, sudo 뿐만아니라 크론 또한 수잡업 명령어르 통해 확인해보는 것이 좋다.

cat /etc/crontab : 루트의 예약 작업
crontab -l :접속된 계정의 예약 작업

pspy64s

https://github.com/DominicBreuker/pspy/releases/download/v1.0.0/pspy64s

- 프로세스 체크 스크립트(x86-64 linux)

- 실행되는 프로세스를 모니터링하여 주기적으로 실행되는 파일을 확인할 수 있다.

- 만약 루트로 실행되는 스크립트나 파일을 수정할 수 있다면(worldwritable),

스크립트 내용을 수정하여 하이재킹이 가능하다.

- 이런 경우 대게 한줄 리버스 웹 쉘로 연계시키는 것 같다.

저작자표시

'OSCP > HackTheBox' 카테고리의 다른 글

[Linux] Popcorn (0)	2020.09.01
[Linux] Jarvis (0)	2020.08.28
[Linux] SolidState (0)	2020.08.25
[Windows] Jeeves (0)	2020.06.11
[Linux] Bashed (0)	2020.06.01

현재글[Linux] FriendZone

지극히 개인적인 개념정리 블로그

SSH, winPEAS, aws, SoP, git, 권한상승, 파워쉘, sudo, lfi, powerup.ps1, OSCP, 버퍼오버플로우, Hydra, smb, JSONP, John, CSRF, exploit, nishang, 안드로이드 리버싱,

Today :
Yesterday :

Elbrown