본문으로 바로가기

[TryHackMe] : StartUp

category Pentest/TryHackMe 2020. 12. 5. 19:21
728x90
반응형

TryHackMe의 StartUp Machine 리뷰입니다. 정보를 얻기 위해 스캔을 시도해봅시다.

 

nmap -sC -sV EXPORT_IP -oN nmap.log

21 ftp, 22 ssh, 80 http 포트가 열려 있습니다. 그중 FTP가 서비스되는 21번 포트는 Anonymous 로그인이 가능하다 나와있습니다. 이후 FTP에 접속해봅시다.

ftp open EXPORT_IP

FTP 서버에 접속하고 나니 User, Another, Group의 권한이 777인 디렉토리가 보입니다. 여기서 Reverse Shell 파일을 올려서 커넥션을 얻어봅시다.

php-reverse-shell.php라는 이름으로 파일을 업로드하는 게 가능합니다 문제는 올린 파일을 어떻게 실행시킬 것인가 인데 gobuster로 80 포트에 Directory BruteForcing을 시도하면 files라는 접근 가능한 경로를 찾을 수 있고 이를 통해 다음과 같은 URL에 접속하면  reverse shell을 얻는 게 가능해집니다.

이후 Reverse Shell을 얻은 뒤 incidents 디렉토리에서 suspicious.pcapng 파일을 찾을 수 있었습니다. 문제는 어떻게 가져와서 뜯어볼까 였는데 대상 서버에는 python2가 이미 설치되어있고 대상 서버에서 SimpleHTTPServer로 간단한 서버를 열어준 뒤 뒤 wget으로 받아줍시다.

이후 wireshark로 열어서 패킷을 관찰 후 다음과 같은 Credential을 얻을 수 있습니다.

lennie,c4ntg3t3n0ughsp1c3가 보입니다 이 Credential을 통해 ssh 서버로 접속해봅시다.

접속에 성공했습니다 이후 scripts 디렉토리에 보면 파일이 두 개가 보이는데 planner.sh를 열어보면 어떤 명령어가 적어져 있습니다. 권한상승을 시도하기 위해 pspy32나 linpeas 도구 같은 것으로 찾아보면 root 권한으로 이 파일을 몇 분마다 실행하는 것을 알 수 있습니다.. 즉 /etc/print.sh에 bash reverse shell을 적어주고 nc 포트를 열어 대기하다 root 쉘을 얻을 수 있습니다.

/etc/print.sh에 추가

728x90
반응형

'Pentest > TryHackMe' 카테고리의 다른 글

[Try Hack Me] : Chill Hack ( part.2 Root)  (0) 2020.12.12
[Try Hack Me] : Chill Hack ( part.1 USER Escalate)  (0) 2020.12.07
[TryHackMe] : Anonforce  (0) 2020.11.07
[Try Hack ME] : Bolt  (0) 2020.09.30
[Try Hack Me] : Lazy Admin  (0) 2020.09.28