Lazy admin(1)

port scan부터 시작해 본다. 

 

 

80 port가 열려 있으니 browser로 들어가 보자~

해당 페이지 내에서 얻을 만한 특별한 정보는 없는 거 같다.

 

 

그래서, gobuster로 directory를 찾아봤다.

/content라는 directory가 있다고 한다.

 

 

들어가 봤더니, SweetRice라는 단어들이 유난히 많았다.

 

 

searchsploit을 이용해서 Sweetrice의 취약점을 알아봤더니 여러 가지 출력되었다.

 

 

흠. Backup Disclosure을 먼저 읽어볼까??

위치를 확인해 주고 

파일을 읽어봤더니, mysql_backup 파일이 올라가 있는 web url이 적혀있다!!

 

 

혹시나?? 해서 /content 안에 있는 directory도 찾아보았다. 

 

 

다시 돌아와서, /content/inc로 들어가 보자. 

굉장히 많은 파일들이 올라와 있다. 

볼 만한 게 없나 훑어보던 중 lastest.txt 파일을 읽어보니 

 

 

버전 정보를 알아낼 수 있었다. 

그렇다면..! 위에서 searchsploit으로 알아본 취약점 중에서 1.5.1 버전에 해당하는 내용을 활용해 보면 될 거 같다. 

 

 

다른 파일들도 쭉 보다 보면 mysql_backup을 찾을 수 있다. ㅎ-ㅎ

 

 

깔끔하게 알아볼 내용은 아니라서 grep을 사용해서 passwd 내용이 있는지 출력해 봤다.

운이 좋게도 admin과 passwd 정보를 얻었다!!

 

 

다만 passwd가 hash처리된 거 같으니 hash 되기 전, 원래 passwd 값을 찾아내보자. 

admin = manager, passwd = Password123

(hashid를 사용해 보니 MD5가 나오길래 format을 MD5로 지정하고 john을 실행했다.)

 

 

/content에 gobuster를 실행한 결과 찾은 attachment directory

아마 target server로 파일을 업로드하면 이 페이지에 출력되는 듯하다. 

 

 

그럼 파일을 업로드해 보자.

searchsploit으로 찾았던 Arbitrary file upload를 하기 위해, python으로 40716.py를 실행한다.

사용할 shell name을 입력해야 하나 보다..

급히 shell을 구해다가 넣어준다.

(shell을 아래와 같은 방법으로 사용할 수 있다.)

 

 

[php-reverse-shell] : wget으로 사용할 shell을 다운

 

[ip&port] : 공격자의 ip & port로 수정

 

 

40716.py을 실행하고 나면..!

res.php5가 제대로 업로드된 걸 볼 수 있다.

 

 

terminal에 9999 port를 열어놓고,업로드한 저 php5 파일을 클릭하면

shell을 얻을 수 있다!! (OoO)

 

 

! 이때 port는 php shell에 입력한 port와 동일한 port를 사용해야 한다.