Elbrown

웹 브루트포싱 gobuster vs dirb vs wfuzz 웹은 높은 확률로 php언어가 나오므로 확장자 추가 체크해주자 dirb 아이피 -X .php 웹 쉘이 업로드되는 위치는 어디인가? => 이것 또한 퍼징으로 알아낼 수 있다. => /uploads : 403 Forbbiden nc쉘 => tty쉘 업그레이드 (완전한 쉘 아님): 웹쉘은 가상쉘이 아니기 때문에 sudo, su가 불가능함 /bin/bash -i 루트 권한상승 스크립트를 돌리면 수상한 setuid 파일을 찾을 수 있다. searchsploit을 검색하여 exploit을 찾을 수 있다. exploit은 쉘 파일 형태로 작성 되었으며 자동으로 컴파일 후 실행하게끔 작성되어 있다. 문제는 타겟 서버에 쉘 파일 실행시 에러가 발생한다는 것이다..

winPEAS 1. bat vs exe bat파일은 exe파일보다 훨씬 많은 Enumeration을 제공함, 단점: 오래걸린다. exe파일은 컬러를 활용해 취약 부분을 표시해주므로 가식성이 좋다, 단점: 미탐이 존재한다. =>결론: 둘다 사용하자. 2. x64 vs x64 x86 실행파일은 x64에서 실행이 되지만 실행 파일에 대한 권한체크 부분이 미흡했다. =>결론: 아키텍쳐에 맞는 실행파일을 실행하자. LinEnum.sh vs LinPEAS.sh linEnum.sh: 빠르지만 linPEAS보다 상대적으로 수준이 낮음 linPEAS.sh: 컬러, 디테일한 체크, 서버 파일이 너무 많을 경우 대기 상태가 길어질 수 있음 Linprivchecker.py: 빠르지만 가식성이 안좋음, 파이썬이 설치되어 있어야..

[Task 7] Registry - AutoRuns 자동실행으로 등록된 레지스트리 확인한다. reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 자동실행으로 등록된 프로그램이 Everyone 권한에게 Writable 권한을 부여했는지 체크한다. C:\PrivEsc\accesschk.exe /accepteula -wvu "C:\Program Files\Autorun Program\program.exe" 해당 프로그램을 악성파일로 덮어쓴다. 윈도우가 재시작되면 PWN된다. [Task 8] Registry - AlwaysInstallElevated 레지스트리 값 AlwaysInstallElevated이 1로 설정되면 취약 Query the registr..

Sercice Exploits은 Misconfiguration을 이용한 권한상승이기 때문에 해당 서비스들은 관리자 권한으로 실행되고 있어야한다. - accesschk 프로그램으로 확인 또는 winPEASwinPEAS, powerUP 등 스크립트로 Enumeration 진행. 실제 환경에서는 일반 유저로 nc를 사용하여 쉘을 연결하여 진행되기 때문에 해당 취약점을 악용할려고하면 다른 포트의 리버스 쉘을 또 생성하여 연결시켜야 한다. (관리자nc spawn) [Task 3] Service Exploits - Insecure Service Permissions 일반 유저가 서비스의 설정(프로그램 경로)를 수정할 수 있는 권한을 갖고 있을때, 오리지널에 대한 파일 경로를 악성프로그램으로 변경할 수 있는 취약점이..

파일전송 TIP * wget 등 여의치 않은 경우 로컬에 존재하는 스크립트 내용을 마우스로 Copy&Paste하여 파일을 생성하면 됨 그외 vim에서 Copy&Paste 클립보드와 연동하는 방법 hyoje420.tistory.com/49 stackoverflow.com/questions/3961859/how-to-copy-to-clipboard-in-vim Exploiting Writeable /etc/passwd 1. /etc/passwd 2. GID가 0인 사용자 존재, 사용자가 passwd파일을 수정할 수 있음 3. 해당 사용자로 로그인 4. 해시 값 생성 openssl passwd -1 -salt [salt] [password] 5. 새로운 루트계정 새로 추가 new:$1$new$p7ptkEKU1..

Daily Bugle Compromise a Joomla CMS account via SQLi, practise cracking hashes and escalate your privileges by taking advantage of yum. 문제에 대한 포럼과 다른 방법의 팁들 https://tryhackme.com/thread/5e1ef29a2eda9b0f20b151fd 칼리에 joomla 스캐너 툴이 존재함 => 버전: joomscan 3.7.0 http://10.10.113.114/administrator Exploit-DB검색 searchsploit joomla 3.7.0 SQLMAP 진행 추출 순서 1. DBMS: --dbs 2. TABLE: -D joomla --tables 3. Column..

Exploiting wildcards on Linux * Cronjob이 관리자 권한으로 스크립트 실행할 때, tar 와일드카드 취약점을 콤보로 사용가능 관련작업: TryHackMe - Skynet DefenseCode는 Leon Juranic 연구원이 Unix 명령에서 와일드 카드 사용과 관련된 보안 문제를 자세히 설명하는 권고를 발표했습니다. 이 주제는 과거에 전체 공개 메일 링리스트에서 논의되었는데, 일부 사람들은 이것을 버그보다는 기능으로 더 많이 보았습니다. Juranic은 Linux / Unix 명령에 * 와일드 카드를 사용하는 실습으로 인한 위험을 강조하는 5 가지 실제 악용 사례를 제공했습니다. chown, tar, rsync 등의 특정 옵션을 사용하여 이 문제가 나타날 수 있습니다. 특수..

Skynet A vulnerable Terminator themed Linux machine. Scan ports using nmap Use GoBuster to enumerate directories Experiment with SMBMap to find Samba shares Using enumerated credentials to read emails Exploit CMS RFI vulnerability Exploit tar wildcards for privilege escalation Flow정리 1. Enumeration (samba) - nmap,smbmap,enum4linux 사용 2. 정보 획득 및 다운로드 - smbclient, rpcclient, smbget 사용 3. 히든 디렉토리 -..

HackPark Bruteforce a websites login with Hydra, identify and use a public exploit then escalate your privileges on this Windows machine! 1. 익스플로잇-DB 설명 잘 해석하여 StepByStep 따라하기 2. 윈도우에 파워쉘이 설치되어 있으면 wget처럼 다운로드가 쉽다. 3. 권한상승을 위해 winPEAS 또는 파워업 쉘을 활용하자. 4. 페이로드 주입시 미터프리터, 커맨드 쉘 둘다 시도해 보자. 5. 히드라 브루트포스시 필수 파라미터 다 입력해줘야 한다. 더블쿼트 사용시 버그발생함, 싱글쿼트만 사용하자. Flow 정리 1. 정보수집 홈페이지 -> admin 브루트포스(히드라) -> CMS 정..

Alfred Exploit Jenkins to gain an initial shell, then escalate your privileges by exploiting Windows authentication tokens. 잰킨스 Exploit 잰킨스는 project 옵션 -> configure -> build -> windows batch command 를 통해 쉘을 설정하고 build now를 클릭하여 원하는 명령을 실행할 수 있었다. 이를 이용해 잰킨스 관리자 계정을 알고있으면 시스템의 리버스 쉘을 획득할 수있다. 공격 Flow 1. Nishang 파워 쉘 다운 후 바로 nc로 리버스 연결 2. 미터프리터로 쉘 스위치 (권한상승을 더 쉽게 하기 위함) - venom으로 생성 후 다시 잰킨스에서 리버스..