[HTB] underpass
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
1. smnp v1 string ๋ฉ”์‹œ์ง€์—์„œ ์„œ๋น„์Šค ์ •๋ณด ํ™•์ธ2. ์„œ๋น„์Šค์˜ ๋กœ๊ทธ์ธ ํŽ˜์ด์ง€ ํ™•์ธ ํ›„ ๊ธฐ๋ณธ ๊ณ„์ • ์ž…๋ ฅ3. ์ €์žฅ๋œ ๊ณ„์ •์˜ ํ•ด์‹œ์ •๋ณด ํ™•์ธ4. SSH ์ •๋ณด์™€ ๊ฐ™๋‹ค๋Š” ๊ฐ€์ •ํ•˜์— ๋กœ๊ทธ์ธ5. ๊ณ„์ •์˜ sudo ๊ถŒํ•œ ํ™•์ธ6. mosh-server ๊ด€๋ จ Privileges Escalation ์ด์šฉ
[HTB] Titanic
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
1. ์ •๋ณด์ˆ˜์ง‘2. ์›น์„œ๋น„์Šค ํŒŒ์ผ ๋‹ค์šด๋กœ๋“œ ์ทจ์•ฝ์  ํ™•์ธ ๋ฐ /etc/passwd ๋‹ค์šด๋กœ๋“œ3. ์›น์„œ๋น„์Šค ์„œ๋ธŒ๋„๋ฉ”์ธ ์ •๋ณด์ˆ˜์ง‘ ๋ฐ Gitea ์„œ๋น„์Šค ๋ฐ์ดํ„ฐ๋ฒ ์ด์Šค ๋‹ค์šด๋กœ๋“œ4. DB user ํ…Œ์ด๋ธ” ๊ณ„์ • ๋น„๋ฐ€๋ฒˆํ˜ธ ํฌ๋ž™ ๋ฐ SSH ์ ‘์† ์‹œ๋„5. ์Šคํฌ๋ฆฝํŠธ ๊ตฌ๋ฌธ์—์„œ magick ๊ด€๋ฆฌ์ž ๊ถŒํ•œ์œผ๋กœ ์‹คํ–‰ ํ™•์ธ ๋ฐ ์ทจ์•ฝ์  ์ด์šฉ  1. ์™ธ๋ถ€์ •๋ณด์ˆ˜์ง‘nmap ํ›„ 80ํฌํŠธ์—์„œ ์›น์„œ๋น„์Šค๊ฐ€ ๋™์ž‘ํ•จ์„ ํ™•์ธํ–ˆ๋‹ค.2.์„œ๋น„์Šค์ •๋ณด์ˆ˜์ง‘์„œ๋น„์Šค์˜ ์ทจ์•ฝ์  ์ •๋ณด๋ฅผ ์ˆ˜์ง‘ํ•˜์˜€์œผ๋‚˜ ํ™•์ธ๋œ ์‚ฌํ•ญ์€ ์—†๋‹ค(apache 2.4.52) 3.์›น์„œ๋น„์Šค์ •๋ณด์ˆ˜์ง‘์›น ์„œ๋น„์Šค์˜ ๊ธฐ๋Šฅ์„ ํ™•์ธํ•˜์—ฌ ์„œ๋ฒ„๋กœ ์นจํˆฌ ํฌ์ธํŠธ๋ฅผ ํƒ์ƒ‰ํ•œ๋‹ค. ํ•ด๋‹น ์‚ฌ์ดํŠธ๋Š” ์›น์‚ฌ์ดํŠธ์—์„œ ์˜ˆ์•ฝํ•  ์ˆ˜ ์žˆ๋Š” ๊ธฐ๋Šฅ์„ ์ œ๊ณตํ•œ๋‹ค. [์˜ˆ์•ฝ๊ธฐ๋Šฅ]๋™์ž‘ํ™•์ธ1. ์ •๋ณด ๊ธฐ์ž… ํ›„ Submit์„ ๋ˆ„๋ฅด๋ฉด POST๋กœ ์ •๋ณด๋ฅผ ์„œ๋ฒ„์—์„œ ๋ณด๋‚ธ๋‹ค.2...
์ •๋ณด๋ณด์•ˆ ์Šคํ‚ฌ๊พธ๋Ÿฌ๋ฏธ
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
pcap ํŒŒ์ผ์—์„œ ํ‰๋ฌธ์œผ๋กœ ์ „์†กํ•˜๋Š” ์ •๋ณด์ค‘์— ๊ณ„์ •์ •๋ณด๊ฐ€ ์žˆ๋Š”์ง€ ํ™•์ธํ•œ๋‹ค.FTP์˜ ๊ณ„์ •์ด SSH ๊ณ„์ •์œผ๋กœ ๋กœ๊ทธ์ธ ๊ฐ€๋Šฅํ•  ์ˆ˜๋„ ์žˆ๋‹ค. python์— setuid ๊ถŒํ•œ์ด ๋ถ€์—ฌ๋˜์–ด ์žˆ๋Š” ๊ฒฝ์šฐ ๋‹ค์Œ์˜ ํŒŒ์ด์ฌ ๋ช…๋ น์–ด๋กœ root ์‰˜์„ ์—ด ์ˆ˜ ์žˆ๋‹ค.setuid(0) ์—†์ด ๋ช…๋ น์–ด ์‹คํ–‰ ์‹œ ํ˜„์žฌ ๊ณ„์ •์œผ๋กœ ์‰˜์ด ์—ด๋ฆฌ๊ฒŒ ๋œ๋‹ค.python -c 'import os;os.setuid(0) os.system("/bin/sh")'
์œ ์šฉํ•œ ONSIT ์‚ฌ์ดํŠธ(geo location)
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
COUNTRY.IS IP ์งˆ์˜๋ฅผ ํ†ตํ•œ ๊ตญ๊ฐ€ ์กฐํšŒ https://country.is/ IP Geolocation API | Country.is Country has a minimal ๐Ÿ”ฅ interface. Have your browser or app query its own IP address. Query an abitrary IP. https://api.country.is/9.9.9.9 See the data sources. Country automatically checks for new MaxMind data every 24 hours. If you prefer not to use t country.is MAXMIND ASN ๋ฐ IP ๋Œ€์—ญ ๋ณ„ ๊ตญ๊ฐ€ ์ •๋ณด ๋ฐ์ดํ„ฐ ํŒŒ์ผ ์ œ๊ณต https://www.maxm..
[Post-Explotation] Linux Priviledge Escalation
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
์ผ๋ฐ˜์ ์œผ๋กœ ํ˜ธ์ŠคํŠธ ์‰˜์„ ํš๋“ํ•˜๋ฉด ์ƒ์œ„ ๊ถŒํ•œ ํƒˆ์ทจ๋ฅผ ์œ„ํ•˜์—ฌ ์ •๋ณด๋ฅผ ์ˆ˜์ง‘ํ•ด์•ผํ•œ๋‹ค. ์ด ์ˆ˜์ง‘ํ•˜๋Š” ํ–‰์œ„๋ฅผ Enumeration๋ผ๊ณ  ํ•œ๋‹ค. ๊ธฐ์ดˆ ์ •๋ณด๋ฅผ ํš๋“ํ•˜๊ธฐ ์œ„ํ•˜์—ฌ ๋‹ค์Œ์˜ ์ •๋ณด๋ฅผ ์ˆ˜์ง‘ํ•˜์ž. ์šด์˜์ฒด์ œ ๋ฒ„์ „ - ์ฃผ๋กœ ์•Œ๋ ค์ง„ ์šด์˜์ฒด์ œ์— ๋”ฐ๋ผ ์‚ฌ์šฉํ•˜๋Š” ํˆด ๋˜๋Š” ์ต์Šคํ”Œ๋กœ์ž‡ ์—ฌ๋ถ€๋ฅผ ํ™•์ธํ•  ์ˆ˜ ์žˆ๋‹ค. ์ปค๋„ ๋ฒ„์ „ - ์ž˜์•Œ๋ ค์ง„ ์ปค๋„์ด๋ผ๋ฉด ์ทจ์•ฝ์  ์ •๋ณด๋ฅผ ํš๋“ํ•  ์ˆ˜ ์žˆ๋‹ค. ์ด์— ์“ฐ์ด๋Š” ์ทจ์•ฝ์ ์€ ์‹œ์Šคํ…œ์„ ์‚ฌ์šฉ๋ถˆ๊ฐ€ ํ•  ์ˆ˜ ์žˆ๊ฒŒ ํ•˜๋ฏ€๋กœ ์‹คํ–‰ํ•˜๊ธฐ์ „ ํŒŒ๊ธ‰ํšจ๊ณผ๋ฅผ ์ธ์ง€ํ•˜๋„๋ก ํ•˜ ์‹ฑํ–‰์ค‘์ธ ์„œ๋น„์Šค - ์‹คํ–‰์ค‘์ธ ํ”„๋กœ์„ธ์Šค์˜ ๊ถŒํ•œ์„ ํ™•์ธํ•œ๋‹ค. ์ž˜๋ชป๋œ ์„ค์ •์œผ๋กœ root๋กœ ์‹คํ–‰๋˜๊ฒŒ ํ•  ์ˆ˜๋„์žˆ๋‹ค. Cy3erLuna@htb[/htb]$ ps aux | grep root root 1 1.3 0.1 37656 5664 ? Ss 23:26 0:01 /sbin/i..
[์ •๋ณด] Blutooth ํ•ดํ‚น ๊ธฐ๋ฒ• ์ข…๋ฅ˜
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
๋ฌด์„  ๊ธฐ์ˆ  ํ‘œ์ค€์ธ Bluetooth๋Š” ๊ณ ์ • ๋ฐ ๋ชจ๋ฐ”์ผ ์žฅ์น˜์—์„œ ๋‹จ๊ฑฐ๋ฆฌ๋กœ ๋ฐ์ดํ„ฐ๋ฅผ ์ „์†กํ•˜๊ธฐ ์œ„ํ•ด ์„ค๊ณ„๋˜์—ˆ์Šต๋‹ˆ๋‹ค. ์ด ๊ธฐ์ˆ ์€ 2.402GHz ~ 2.480GHz์˜ ISM ๋Œ€์—ญ์—์„œ ๋ฌด์„  ์ฃผํŒŒ์ˆ˜๋ฅผ ์‚ฌ์šฉํ•˜์—ฌ ๊ฐœ์ธ ์˜์—ญ ๋„คํŠธ์›Œํฌ(PAN)๋ฅผ ๊ตฌ์ถ•ํ•˜๋Š” ๋ฐฉ์‹์œผ๋กœ ์ž‘๋™ํ•ฉ๋‹ˆ๋‹ค ์žฅ์น˜ ๊ฐ„ ๋‹จ๊ฑฐ๋ฆฌ ๋ฌด์„  ํ†ต์‹ ์„ ์œ„ํ•ด ์„ค๊ณ„๋œ Bluetooth ๊ธฐ์ˆ ์€ ์˜ค๋Š˜๋‚ ์˜ ๋””์ง€ํ„ธ ์‹œ๋Œ€์— ์–ด๋””์—๋‚˜ ์กด์žฌํ•ฉ๋‹ˆ๋‹ค. ์ด๋Ÿฌํ•œ ํŽธ๋ฆฌํ•จ์—๋„ ๋ถˆ๊ตฌํ•˜๊ณ  ํ•ด์ปค์—๊ฒŒ๋Š” ์ƒˆ๋กœ์šด ๊ณต๊ฒฉ ๋Œ€์ƒ์ด ๋  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋ช‡ ๊ฐ€์ง€ ์œ ํ˜•์˜ ๋ธ”๋ฃจํˆฌ์Šค ํ•ดํ‚น ์ข…๋ฅ˜๋Š” ๋‹ค์Œ๊ณผ ๊ฐ™์Šต๋‹ˆ๋‹ค. ๋ธ”๋ฃจ์Šค๋‚˜ํ•‘(Bluesnarfing): ๋ธ”๋ฃจํˆฌ์Šค๋ฅผ ํ†ตํ•ด ๋ฌด์„  ๋””๋ฐ”์ด์Šค์˜ ์ •๋ณด์— ๋ฌด๋‹จ์œผ๋กœ ์•ก์„ธ์Šคํ•˜๋Š” ์‚ฌ์ด๋ฒ„ ๊ณต๊ฒฉ์ž…๋‹ˆ๋‹ค. ๋ธ”๋ฃจ์žฌํ‚น(Bluejacking): ๋ธ”๋ฃจํˆฌ์Šค ์‚ฌ์šฉ ์žฅ์น˜์— ์›์น˜ ์•Š๋Š” ๋ฉ”์‹œ์ง€๋ฅผ ๋ณด๋‚ด๋Š” ๊ณต๊ฒฉ์ž…๋‹ˆ๋‹ค. ๋ธ”..
[์ •๋ณด] ํ•ด์‹œ
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
๋Œ€๋ถ€๋ถ„์˜ ํ•ด์‹œ ์•Œ๊ณ ๋ฆฌ์ฆ˜์€ ์ผ์ •ํ•œ ๊ธธ์ด์˜ ํ•ด์‹œ๋ฅผ ์ƒ์„ฑํ•ฉ๋‹ˆ๋‹ค. ํŠน์ • ํ•ด์‹œ์˜ ๊ธธ์ด๋Š” ํ•ด์‹œ๊ฐ€ ํ•ด์‹œ๋œ ์•Œ๊ณ ๋ฆฌ์ฆ˜์— ๋งคํ•‘ํ•˜๋Š” ๋ฐ ์‚ฌ์šฉํ•  ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ์˜ˆ๋ฅผ ๋“ค์–ด 32์ž ๊ธธ์ด์˜ ํ•ด์‹œ๋Š” MD5 ๋˜๋Š” NTLM ํ•ด์‹œ์ผ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ํ•ด์‹œ ๊ฐ’์ด ์žˆ์œผ๋ฉด hashid๋กœ ์–ด๋–ค ์œ ํ˜•์˜ ํ•ด์‹œ์ธ์ง€ ์•Œ ์ˆ˜ ์žˆ๋‹ค.
[์ •๋ณด] http ๊ณต๊ฒฉ ์Šคํ‚ฌ
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
CRLF -> ๋กœ๊ทธ ์ธ์ ์…˜, ๋กœ๊ทธ ํฌ์ด์ฆˆ๋‹ -> XSS, RCE redirection ์ฒ˜๋ฆฌ๋˜๋Š” ํŒŒ๋ผ๋ฏธํ„ฐ์— Response ํŒจํ‚ท์— CRLF ๊ณต๊ฒฉ์„ ํ†ตํ•˜์—ฌ ์ž„์˜์˜ ๋ฐ์ดํ„ฐ(html ๊ตฌ์กฐ ๋“ฑ)๋ฅผ ์‚ฝ์ž…ํ•  ์ˆ˜ ์žˆ๋‹ค. ๊ฐœํ–‰๋ฌธ์ž๋ฅผ ์‚ฝ์ž…ํ•˜์—ฌ ๊ทธ๋Œ€๋กœ ์‹œ์Šคํ…œ์—์„œ ์ธ์‹ํ•˜๋Š” ๊ฒƒ์ด ์ทจ์•ฝํ•˜๋‹ค ์ด๋ฅผ ๋ฐฉ์ง€ํ•˜๊ธฐ ์œ„ํ•ด์„œ URL๋กœ ์ธ์ฝ”๋”ฉ๋˜๋„๋ก ํ•˜์—ฌ CRLF ์ธ์ ์…˜์„ ๋ฐฉ์ง€ ํ•œ๋‹ค. ์œ„์˜ ๊ณต๊ฒฉ์€ HTTP Request ํŒจํ‚ท์˜ ํŒŒ๋ผ๋ฏธํ„ฐ ๋“ฑ์„ ์กฐ์ž‘ํ•˜์—ฌ ์‚ฌ์šฉ์ž์—๊ฒŒ ์˜ค๋Š” Response ํŒจํ‚ท์˜ ์‘๋‹ต์„ ์กฐ์ž‘ํ•˜๋Š” ๋ฐฉ๋ฒ•์ด๋‹ค. ํ…Œ์ŠคํŒ… ํˆด๋กœ๋Š” ํŒŒ์ด์ฌ์˜ crlfsuite๋ฅผ ์‚ฌ์šฉํ•˜๋ฉด ๋œ๋‹ค pip3 install crlfsuite KoCOnU72@htb[/htb]$ crlfsuite -h usage: crlfsuite [-h] [-t TARGET] [-iT TARG..
[์ •๋ณด] DLL Injection ํŒŒ์ด์ฌ ์ฝ”๋“œ
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
DLL Injection ๊ณต๊ฒฉ ํ๋ฆ„ ์‹คํ–‰ ์ค‘์ธ ํ”„๋กœ์„ธ์Šค๋ฅผ ๋Œ€์ƒ์œผ๋กœ ํ•ฉ๋‹ˆ๋‹ค. ํ”„๋กœ์„ธ์Šค ์ฃผ์†Œ ๊ณต๊ฐ„์— ๋ฉ”๋ชจ๋ฆฌ๋ฅผ ํ• ๋‹นํ•ฉ๋‹ˆ๋‹ค. DLL ๊ฒฝ๋กœ๋ฅผ ํ•ด๋‹น ๋ฉ”๋ชจ๋ฆฌ์— ์”๋‹ˆ๋‹ค. ๋Œ€์ƒ ํ”„๋กœ์„ธ์Šค์˜ ์Šค๋ ˆ๋“œ์—์„œ DLL์„ ๋กœ๋“œํ•˜๋Š” ํ•จ์ˆ˜๋ฅผ ์‹คํ–‰ํ•ฉ๋‹ˆ๋‹ค. import ctypes # ctypes ๋ชจ๋“ˆ ์ž„ํฌํŠธ import sys # sys ๋ชจ๋“ˆ ์ž„ํฌํŠธ import os # os ๋ชจ๋“ˆ ์ž„ํฌํŠธ import psutil # psutil ๋ชจ๋“ˆ ์ž„ํฌํŠธ def inject_dll(target_process_name, dll_path): # ๋Œ€์ƒ ํ”„๋กœ์„ธ์Šค๋ฅผ ์ฐพ์Šต๋‹ˆ๋‹ค. target_pid = None for process in psutil.process_iter(['name', 'pid']): if process.info['name'] == target_..
[์ •๋ณด] ๋‹ค๋ฅธ ์›๊ฒฉ์ง€์— ์žˆ๋Š” ํ”„๋กœ๊ทธ๋žจ๊ณผ ํ†ต์‹ ํ•˜๋Š” ๋ฐฉ๋ฒ•
ยท
๐Ÿค–์ •๋ณด๋ณด์•ˆ/โค๏ธ๋ ˆ๋“œํŒ€
ํ”„๋กœ๊ทธ๋ž˜๋ฐ์—์„œ ๋‹ค๋ฅธ ์›๊ฒฉ์ง€์— ์žˆ๋Š” ํ”„๋กœ๊ทธ๋žจ๊ณผ ํ†ต์‹ ํ•˜๋Š” ๋ฐฉ๋ฒ•์€ ์—ฌ๋Ÿฌ ๊ฐ€์ง€๊ฐ€ ์žˆ์ง€๋งŒ, ๋Œ€ํ‘œ์ ์ธ ๋ฐฉ๋ฒ•์œผ๋กœ๋Š” ๋„คํŠธ์›Œํฌ ํ†ต์‹ ์„ ์ด์šฉํ•˜๋Š” ๊ฒƒ์ด ์ผ๋ฐ˜์ ์ž…๋‹ˆ๋‹ค. ์—ฌ๋Ÿฌ ๊ฐ€์ง€ ๋„คํŠธ์›Œํฌ ํ†ต์‹  ๋ฐฉ๋ฒ•์ด ์žˆ์ง€๋งŒ, ๊ฐ€์žฅ ๋งŽ์ด ์‚ฌ์šฉ๋˜๋Š” ๋ฐฉ๋ฒ• ์ค‘ ์ผ๋ถ€๋Š” ๋‹ค์Œ๊ณผ ๊ฐ™์Šต๋‹ˆ๋‹ค. HTTP(S) ํ”„๋กœํ† ์ฝœ์„ ์ด์šฉํ•œ ์›น ์„œ๋น„์Šค: RESTful API๋‚˜ SOAP ๋“ฑ์˜ ์›น ์„œ๋น„์Šค๋ฅผ ์ด์šฉํ•˜์—ฌ ๋‹ค๋ฅธ ํ”„๋กœ๊ทธ๋žจ๊ณผ ํ†ต์‹ ํ•ฉ๋‹ˆ๋‹ค. ์ด ๋ฐฉ๋ฒ•์€ ๊ฐ„๋‹จํ•˜๊ณ  ๋‹ค์–‘ํ•œ ํ”„๋กœ๊ทธ๋ž˜๋ฐ ์–ธ์–ด์—์„œ ์ง€์›๋˜๋Š”๋ฐ, ์˜ˆ๋ฅผ ๋“ค์–ด JSON์ด๋‚˜ XML ํ˜•ํƒœ๋กœ ๋ฐ์ดํ„ฐ๋ฅผ ์ฃผ๊ณ ๋ฐ›์„ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. TCP/IP ์†Œ์ผ“ ํ”„๋กœ๊ทธ๋ž˜๋ฐ: TCP/IP ํ”„๋กœํ† ์ฝœ์„ ์ด์šฉํ•˜์—ฌ ๋ฐ์ดํ„ฐ๋ฅผ ์ฃผ๊ณ ๋ฐ›์Šต๋‹ˆ๋‹ค. ์ด ๋ฐฉ๋ฒ•์€ ๋ฐ์ดํ„ฐ๋ฅผ ๋ณด๋‚ผ ๋•Œ ์ผ๋ฐ˜์ ์œผ๋กœ ๋” ๋‚ฎ์€ ๋ ˆ๋ฒจ์—์„œ ์ž‘๋™ํ•˜๊ธฐ ๋•Œ๋ฌธ์— ๋” ๋น ๋ฅธ ์†๋„๋ฅผ ๊ฐ€์งˆ ์ˆ˜ ์žˆ์Šต๋‹ˆ๋‹ค. ๋ฉ”์‹œ์ง€ ํ: ๋ฉ”..