Chill (2)

chill (1)에 이어서 마무리해 보자.

임의로 "cat /etc/passwd" file을 읽는 command를 두 번째 input으로 넣어보았다. 

결과는 위와 같이 cat /etc/passwd 내용이 출력된 걸 볼 수 있다.

 

 

그리고 확인을 해봤더니 .helpline.sh 파일은 sudo command로 apaar 권한을 사용하는 것이 맞지 싶다. 

어찌 됐든!! 이 .helpline.sh를 이용해서 열리지 않는 local.txt를 읽는 것이 첫 번째 목표이다. 

 

 

우선 ssh나 현재 획득한 쉘에서 사용할 유저 계정이 필요하다. 

이곳저곳 열어보면 hacker.php 파일을 볼 수 있을 것이다. 

 

 

해당 파일 내용을 열어보면 base64로 인코딩 된 passwd와 사진에는 안 나오지만

이 passwd가 anurodh의 것이라는 걸 알 수 있다.

 

 

base64로 디코딩해 주면 쉽게 password를 얻을 수 있다.

 

 

! user = anurodh & passwd = !d0ntKn0wmYp@ssw0rd

 

 

다음 스텝으로 넘어가 보자. 

php 파일 내용을 보다 보면 마지막 부분에 img tag 안에 어떤 jpg 파일이 source로 설정되어 있는 걸 볼 수 있다.

일단 해당 jpg 파일을 nc로 넘겨받고 확인해 볼 거다. 

 

 

획득한 shell에서 해당 jpg 파일을 공격자 IP, port로 전달하고

 

 

공격자 terminal에서는 nc로 4444 port를 열어두고 해당 port로 읽은 내용을 hacker~~.jpg로 지정한다. 

 

 

hacker~~.jpg를 확인해 보니 위와 같은 이미지가 출력된다. 

 

 

jpg 파일에서 추출할 거 없나 steghide를 실행했더니 웬 zip 파일을 얻을 수 있었다.

 

 

열어보려고 하니 password가 필요하다고 한다...

 

 

john the ripper를 사용할 수 있는 형태로 바꿔주고 해당 파일에 john을 실행했더니

 

 

password를 얻을 수 있었다.

 

 

얻은 password로 zip파일을 열어보니 php 파일이 하나 나왔고 내용은 hacker.php와 같았다.

흠.. 사실상 얻은 게 없네??

 

 

후딱 다시 돌아가서 flag를 찾아보자..!!

.helpline.sh 파일을 apaar user로 실행을 시켜서 local.txt를 읽어보니 

성공적으로 내용이 출력됐다.

 

 

위에서 얻은 anurodh계정으로 로그인을 한 후, 이것저것 확인해 봤는 데 별 소득이 없던 찰나..

id를 무심코 입력했다가 맨 끝에 "docker"를 발견했다.

 

 

GTFObins에서 docker를 검색해 보면 root shell을 얻을 수 있는 명령어가 나와있다. 

해당 명령어로 위의 사진에서처럼 root shell을 얻었다.

 

 

후딱 proof.txt를 읽어주면 끝!!