[Try Hack Me] : Chill Hack ( part.1 USER Escalate)에 이어서 쓰는 글입니다.
Part1 에서는 user escalate까지 진행한 채 마무리되었습니다. Root 권한을 얻는 Privilige Escalate를 위해 정보를 얻기 위한 방법 중 서비스 내에서 혹시 다른 포트로 동작되는 서비스가 있나 조회해봅시다.
스캔 단계에서는 드러나지 않았던 9001 포트가 동작 중인 것으로 확인됩니다. 구글에서 SSH 터널링에 대해서 알아본 뒤 이 방법으로 9001 포트에 접근해봅시다.
# SSH 터널링
$ ssh -L 8888:127.0.0.1:9001 -i apaar_rsa apaar@{EXPORT_IP}이후 로컬 호스트에서 브라우저에 localhost:8888로 접속을 시도하면 다음과 같은 창이 뜨게 됩니다.
Credential을 모르는데 로그인 창이 나오니 SQL injection이 가능한지 테스트해봅시다.
이후 로그인이 되어 다음과 같은 페이지가 나오게 됩니다.
이후 이미지를 다운로드하여서 다음과 같이 fcrackzip을 사용하면 비밀번호가 나옵니다.
steghide로 히든 파일이 있나 조사해보던 차에 backup.zip이 나타났습니다. 하지만 비밀번호가 걸려 있어 fcrackzip으로 비밀번호를 크랙 해줍시다. 사용된 패스워드 파일은 칼리에 기본적으로 내장되어있는 rockyou.txt입니다.
패스워드를 찾았다고 나옵니다. 이 패스워드를 가지고 압축을 해제하면 source_code.php라는 파일이 나오는데 열어서 읽다 보면 패스워드와 이 패스워드를 이용하고 있는 USERNAME에 관한 정보를 얻을 수 있습니다.
패스워드는 base64로 디코딩을 해주면 얻을 수 있으며 이 정보를 가지고 ssh로 접속 시 anurodh의 계정으로 쉘을 얻을 수 있고 id 명령어 입력해 권한을 살펴보면 docker에 대한 id도 가지고 있습니다.
이후 GTFObin에서 docker를 검색해 Sudo 탭에 나와있는 명령어를 이용하면 Root 권한을 얻을 수 있습니다.
'Pentest > TryHackMe' 카테고리의 다른 글
| [TryHackMe] IDE (0) | 2021.10.17 |
|---|---|
| JPGChat : ServerSide Injection (0) | 2021.03.11 |
| [Try Hack Me] : Chill Hack ( part.1 USER Escalate) (0) | 2020.12.07 |
| [TryHackMe] : StartUp (0) | 2020.12.05 |
| [TryHackMe] : Anonforce (0) | 2020.11.07 |
