Elbrown

허트블리드를 전혀 예상하지 못 했기 때문에 어려웠다. 또한 ssh 키파일의 유저가 누군지 알아차리기 힘들었는데 이부분을 제외하면 머신 구성은 제법 괜찮아 보인다. 문제 풀이nmap 스캔시 별다른건 없었고 ssh 버전이 낮은 것이 눈에 띄었다.다만, searchsploit으로 검색해도 별건 안나와서 넘어갔던게 화근이였던 것 같다.정보 수집시 구글링도 반드시 같이하자. 허트블리드는 nmap 스크립트도 지원한다.nmap -p 443 --script ssl-heartbleed 서치스플로잇searchsploit heartbleed32745.py nmap 풀포트스캔 팁nmap -vvv -sT -p- --min-rate 5000 --max-retries 1 -oN alltcp 10.10.10.79grep -v -e ..

웹 브루트포싱 gobuster vs dirb vs wfuzz 웹은 높은 확률로 php언어가 나오므로 확장자 추가 체크해주자 dirb 아이피 -X .php 웹 쉘이 업로드되는 위치는 어디인가? => 이것 또한 퍼징으로 알아낼 수 있다. => /uploads : 403 Forbbiden nc쉘 => tty쉘 업그레이드 (완전한 쉘 아님): 웹쉘은 가상쉘이 아니기 때문에 sudo, su가 불가능함 /bin/bash -i 루트 권한상승 스크립트를 돌리면 수상한 setuid 파일을 찾을 수 있다. searchsploit을 검색하여 exploit을 찾을 수 있다. exploit은 쉘 파일 형태로 작성 되었으며 자동으로 컴파일 후 실행하게끔 작성되어 있다. 문제는 타겟 서버에 쉘 파일 실행시 에러가 발생한다는 것이다..

이 문제는 굉장히 어렵다.... OSCP 수준을 한참 넘어섰다고 본다. Node.js, mongodb에 대한 부분을 알 수 있어서 좋긴했다. User 플래그 따는건 인정, Root 플래그는 선넘었다 ㄹㅇ.... 인가 미흡에 따른 취약점, 계정 DB 정보가 노출된다. 자세히 안보면 놓치기 쉽다. /api/users /api/users/latest hash-identifier로 해쉬 값 확인 후 john 돌려주면 바로 비밀번호가 해독된다. john --format=Raw-SHA256 hash.txt 어드민 로그인을 하면 backup 파일을 받을 수 있다. Node.js 코어 코드인 app.js에 DB 암호가 저장되어 있다. >cat app.js const url = 'mongodb://mark:5AYRft7..

dns zone transfer 에서 단순히 도메인 게싱이 필요하다. 아무리 Enumeation을 하여도 도메인과 관련된 단서를 찾을 수 없었다. 결국 Writeup를 보았는데 도메인명을 다른 머신들을 풀었던 경험으로 때려맞추는 수 밖에 없다고한다. Enumeration으로 단서를 찾을 수 없는 문제는 타임컨슈밍을 유발한다. 푸는사람 의욕을 저하시키는 쓰레기같은 문제다. 루트쉘 따기까지는 어렵지 않다. SQL Injection bypass Command Injection Crontab exploit

배운점 1. 커널 익스는 메이저 버전만 일치하다면 Exploit 가능성이 있다. 그 이유는, searchsploit 검색 제목과 내용이 다른 경우가 있기 때문이다.. 제목은 2.6.37로 나와있지만, nelson.c 코드의 첫번째 줄을 보면 2.6.37 이하는 모두 해당된다고 나와있다. 3. 익스플로잇 코드 사용전에 잘 읽어보자. 컴파일 방법이 나와있다. 4. DB자체에서 보안성 강화를 위해 계정별로 명령어 제한을 걸 수 있다. outfile, load file 5. Enumeration은 필수, 숨겨진 디렉토리, 소프트웨어가 있다면 searchsploit을 검색하자 6. ssh key 방식 로그인을 추가하고 싶다면 유저의 홈디렉토리에 write 권한이 있어야한다. 7. 파일업로드 테스트시 큰 범주에서 ..

SQLInjection SQLI을 의도한건 문제인건 알았지만, 화면에 에러가 출력되지않아서 Blind인잭션을 사용해야 하는 줄 알았다. 블라인드는 스크립트가 아니면 상당히 오래걸린다. 따라서, sqlmap을 사용하였다. 몰랐던 사실 xxx.com?cod=-1 파라미터에 음수 또는 의도하지 않은 값을 입력하면 화면이 깨진다. 이 상태에서 union select 기법으로 출력되는 위치를 파악할 수 있었다. union으로 출력 메세지를 확인 가능하므로 load_file과 into outfile 기법을 사용하여 한줄 웹쉘을 생성하여 실행시킬 수 있다. Manual SQL Injection은 내 블로그에 정리 해둠 https://myreversing.tistory.com/306?category=870793 Lat..

Nmap Enumeration 옵션 --sC, --min-rate=1000 - 대상서버에 DNS 서비스가 실행되고 있다면 dns에 대해 Enumeration을 시도해야한다. - SSL인증서에 호스트 주소로 추정되는 값을 사용한다. commonName=friendzone.red This server open DNS server and also can find vhost name in commnName 53/tcp open domain ISC BIND 9.11.3-1ubuntu1.2 (Ubuntu Linux) | dns-nsid: |_ bind.version: 9.11.3-1ubuntu1.2-Ubuntu 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: ..

SolidState Port scan top포트 천개에 포함안된 경우 찾기 그냥 돌릴경우 시스템 과부화 문제로 응답이없거나 못찾는 경우가 있다. 이럴땐느 그냥 3000개 단위로 66000까지 빠르게 노가다하는게 좋을 수도 있다. rbash Escape 많은 방법이 있지만 그중에 하나 ssh @10.10.10.51 -t 'bash --noprofile' Enumeration Enumeration 스크립트를 써도 안나올 가능성이 있다. 수작업 명령어를 몇개 준비하는게 좋아보인다. nmap -p 6000-9000 -n -Pn IP -v -oN n3.txt 1번으로만 검색했었는데, 2번으로 검색해보니까 못 보던 결과를 찾을 수 있었음 1> find / -perm 4000 2>/dev/null 2> find / ..

1차 시험 불합격 1200불 순삭 1. Course 자료만 열심히 공부한다고 붙을 수 있는 시험이 아니다. -_ㅜ 2. 머신이 랜덤으로 배정되기 때문에 운이 따라줘야한다 3. 구글링과 payload 커스터마이징, 트러블슈팅, 시간관리 충분히 연습해둘 것. 4. 스크립트에만 의존하지 말자. 수작업 명령어가 더 빠르고 정확할 수 있다. 5. 24시간동안 풀도록 시간끌만한 함정들이 존재하니 사소한 부분이라도 놓치지 말자 ^^

Error based SQL Injection 에러 백터 체크 ' http://testphp.vulnweb.com/listproducts.php?cat=1 컬럼 Enumeration order by 명령 12개에서 에러가 발생하므로 컬럼수 는 11개 http://testphp.vulnweb.com/listproducts.php?cat=1+order+by+11-- http://testphp.vulnweb.com/listproducts.php?cat=1+order+by+12-- 출력 위치 파악 * 어떤 웹 어플리케이션의 경우, 파라미터 값이 -1 등 범위를 벗어난 값이 입력되야 출력되는 경우도 있다. 2하고 7 그리고 9가 화면에 출력 됨 http://testphp.vulnweb.com/listproduct..