Pentest/HackTheBox (5) 썸네일형 리스트형 HackTheBox OpenVpn 연결에러 개요 오랜만에 HackTheBox를 즐겨보려 접속했는데 openvpn 연결하는데 에러가 난다. 해결해놓고보니 별 것 아니긴한데 국내에서 HackTheBox 즐기시는 분 있으면 참고하라는 의미에서 글을 남기고자 한다. 참고로 필자는 OS X Ventura 13.2이고 OpenSSL 3.1 버전이 설치된 상황이었다. 증상 나타난 에러를 하나한 해결해내가는 과정을 기술하면 좋겠지만 귀찮아서 패스하고자한다. openvpn 연결 시 만났던 에러는 다음과 같다. ╭─jako@prompt-mini ~/Downloads ╰─$ openvpn lab_jakan.ovpn 1 ↵ 2023-06-18 01:56:37 WARNING: Compression for receiving enabled. Compression has b.. [HackTheBox]: Cap Review HackTheBox의 Cap Mathine 리뷰입니다. Nmap을 이용해 열려있는 포트를 알아봅시다. FTP, SSH, HTTP 정도가 열려있는 걸로 보입니다. 먼저 웹으로 접근해서 파악해봅시다. 내비게이터 메뉴에 2번째 메뉴를 클릭해서 들어가게 되면 URL에 13이라는 숫자가 붙어있습니다. 이 숫자를 0으로 바꿔서 Request를 하게 되면 pcap 파일을 하나 다운로드할 수 있습니다. pcap 파일을 잘 살펴보면 다음과 같이 ssh에 접속 가능한 계정을 획득할 수 있습니다. 이 계정 정보를 이용해서 ssh로 접속하면 무리 없이 user.txt에 있는 hash값을 얻을 수 있습니다. 다음 단계로 root 권한을 얻기 위해서 sudo -l이나 find / -perm 4000 2>/dev/nu.. [HackTheBox] : Templated Hack The Box의 Chanllenge 메뉴의 Templated 리뷰입니다. 접속하면 Flask/Jinja2라고 힌트를 주고 있습니다. SSTI를 이용해야 되는 문제인 거 같습니다. {{7*7}} 넣음으로써 SSTI가 가능한지 확인해봅시다. SSTI가 되는 게 가능하니 서버의 플래그를 읽어오는 SSTI 페이로드를 다음과 같이 요청해주면 플래그가 나타납니다. [HackTheBox] : Register John Hammond 라는 분의 유투브 채널을 시청하다 Hack The Box라는 사이트를 알게 됬습니다. 가입을 위해서는 초대코드가 필요하고 이 초대코드를 얻기 위해서는 사이트 내에서 숨겨진 정보를 얻어야 합니다. http://hackthebox.eu Hack The Box :: Penetration Testing Labs An online platform to test and advance your skills in penetration testing and cyber security. www.hackthebox.eu 사이트에 접속한 뒤 스크롤을 내려 위의 이미지와 같은 곳에서 JOIN 버튼을 눌러 들어가봅시다. 초대 코드를 입력하라는 입력창이 나옵니다. "페이지 소스 보기"나 "F12"를 눌러 해.. [HackTheBox] : Traceback Hack The Box의 Traceback Machine에 대해 다루는 글입니다. 해당 Machine의 IP 정보는 Machine의 dashboard에서 볼 수 있고 IP 정보를 기반으로 nmap으로 포트 스캐닝을 수행해봅니다. http 80, ssh 22이 open 되어 있습니다. http 접속 시 다음과 같은 화면이 웹 페이지에 표시됩니다. 페이지 소스를 살펴봤을 때 "Some of the best web shells that you might need"라는 주석이 달려 있습니다. 웹 쉘을 업로드할 페이지를 찾을 수도 있겠지만 gobuster로 Directoy Name Brute Forcing을 했을 때 나타나는 정보가 없었기에 빨간색인 글씨에 구글에 검색한 결과 github에서 웹 페이지를 공격할 .. 이전 1 다음
