Vulnhub DC:4

Namp을 통해 192.168.219.0/24 대역을 스캔했는 데 192.168.219.198 주소를 확인했다.

그림 4-1 nmap

192.168.219.198 open 되어 있는 포트를 확인했다.

그림 4-2 Port

http port가 오픈되어 있는 것을 확인하고 페이지에 접속을 했다.

그림 4-3 웹 페이지

admin/admin으로 로그인이 되지 않았다.

그림 4-4 로그인

사전 공격을 통해 admin 계정의 Password를 확인하려고 시도했다.

그림 4-5 사전공격

사전 공격을 통해 admin 계정의 password가 happy라는 것을 알 수 있다.

그림 4-6 password

admin/happy로 페이지에 로그인을 성공했다.

그림 4-7 로그인

Command 클릭 후 List Files를 선택하고 Run 하면 ls -l 명령어가 동작하는 것을 알 수 있다. 

그림 4-8 명령어

BurpSuite를 통해 ls -l /home 디렉터리에 파일의 내용을 확인했는 데 charles, jim, sam 폴더를 확인했다.

그림 4-9 home

jim 폴더의 내용을 확인해보면 bakcups, mbox, test.sh 파일들을 확인했다.

그림 4-10 jim

backups 폴더가 수상해 보여 파일을 확인해 보니 old-passwords.bak 파일을 확인할 수 있다.

그림 4-11 backups

old-passwords.back 파일의 내용을 확인해 보면 passowrd 내용을 확인할 수 있다.

그림 4-12 old-passwords.bak

/etc/passwd 파일을 보면 해당 계정들을 확인할 수 있다.

그림 4-13 /etc/passwd

다른 방법으로 netcat을 이용해 보았다.

그림 4-14 netcat

nc -nlvp 8888 명령어를 통해 연결되어 있는 것을 확인할 수 있고 명령어가 동작하는 것을 알 수 있다.

그림 4-15 connect

python -c 'import pty; pty.spawn("/bin/bash")' 명령어로 리눅스처럼 동작 후 같은 폴더 위치에서 old-passwords.bak 파일을 확인할 수 있다.

그림 4-16 리눅스

ptyhon을 통해 HTTP Server를 열었다.

그림 4-17 HTTP

old-passwords.bak 파일을 다운로드하였다.

그림 4-18 다운로드

old-passwords.bak 파일을 간단하게 passwords로 변경 후 hydra 공격을 통해 jim 패스워드를 확인했다.

그림 4-19 hydra

jim 계정으로 SSH 서버의 접속을 했다.

그림 4-20 SSH

mbox 파일 내용은 메일이란 것을 알 수 있고 test.sh 파일은  쉘 스크립트라는 것을 알 수 있다.

그림 4-21 jim

/var/mail 폴더에 jim 파일을 보면 메일 내용을 확인할 수 있다.

그림 4-22 메일 내용

charles의 password를 입력해 로그인을 했다.

그림 4-23 charles

sudo -l 명령어를 통해 /usr/bin/teehee를 확인했다.

그림 4-24 sudo

teehee -a 옵션을 통해 /etc/passwd 파일에 UID가 0인 root 권한의 계정을 추가했다.

그림 4-25 계정 추가

root 권한의 계정으로 로그인을 해 flag.txt 파일을 읽었다.

그림 4-26 성공