붕성배 총결산

강한 팀 뒤에는 반드시 강한 후원단이 있을 것이다. CTF 경기에 어떻게 원격 지원이 없어질 수 있겠는가. 간단하게 몇 가지 자주 사용하는 오프라인 경기 기교를 소개한다.

1.ssh 연결

pwn 문제를 풀려면 보통 원격 서버를 쳐야 한다. 오프라인 경기 서버는 보통 내부 네트워크 환경에서 실행되고 장외 선수는 직접 방문할 수 없기 때문에 shootback 방식으로 로컬 호스트를 공공 네트워크에 비추어 장외 선수도 경기 환경을 얻을 수 있다.여기서 간단하게 22포트를 비추고 클라우드 서버를 충전하는 역할을 한다.

도구: shootback

조건: 공용 네트워크 IP 서버

# slaver_local_ssh  slaver  master(183.157.161.177)  You
# ---- master  ----
python3 master.py -m 0.0.0.0:10000 -c 0.0.0.0:10022
# ---- slaver  ----
python slaver.py -m [ IP]:10000 -t 127.0.0.1:22
# ---- YOU  ----
ssh [ IP] -p 10022

2. 웹 문제 역방향 에이전트

웹 문제에 있어서 로컬 셸만 공유하는 것은 부족하고, 장외 선수들이 정상적인 브라우저 방식으로 인터넷 사이트를 방문할 수 있도록 해야 한다.따라서 내부 네트워크 ip+port를 로컬에 비추는 에이전트가 필요합니다.

조건: shootback + ssh

우선 ssh 명령으로 네트 10.0.0.3:80을 로컬 8080 포트에 비추기

ssh -g -L 8080:10.0.0.3:80 [email protected] 

로컬 8080 포트를 똑같이 shootback으로 전송하기

# ---- master ----
python3 master.py -m 0.0.0.0:10002 -c 0.0.0.0:10080
# ---- slaver ----
python slaver.py -m [ IP]:10002 -t 127.0.0.1:8080

이렇게 하면 장외 선수가 [서버 IP]: 10080을 방문하면 웹 문제를 즐겁게 풀 수 있습니다!

3. 인라인 관통

이번에 X-NUCA는 내망이 침투하는 장면이 생겼는데 여러 단계의 발판을 거쳐야 내망의 제목과 다른 팀을 공격할 수 있다.여기서도 스프링보드 전송을 이용하여 다중 호스트 간의 전송을 실현하는 것을 총괄한다.현재 호스트 A는 B 호스트를 발판으로 삼아 B와 같은 네트워크에 있는 기계 C의 80 포트에 접근해야 한다고 가정하고 C의 IP가 10.0.0.3이라고 가정하면 공격기에서 다음과 같은 명령을 실행할 수 있다.

ssh -g -L 8080:10.0.0.3:80 [email protected] 

이때 A 호스트의 8080 포트 트래픽은 C 호스트의 80 포트로 전달됩니다.여기서 모든 기계는 ssh 명령을 사용하여 전송할 수 있다. 이론적으로 몇 개의 발판이든 이런 방식으로 네트워크의 통일된 출구로 전송할 수 있다!

4. 동적 전달

만약에 우리가 스프링보드 B와 같은 내망에 있는 호스트 C를 스캔하고 싶지만 스프링보드 B에 nmap도 없고 호스트 A를 통해서만 스캔할 수 있기 때문에 우리의 동적 전송에 사용해야 한다.이런 전송은 데이터를 마음대로 전송할 수 있는데 이때 실현되는 효과는 프록시 서버에 해당한다.

조건: ssh + proxychains

A기기에서 다음 명령을 사용하여 수행합니다.

ssh -D 9050 [email protected] 

/etc/proxychains.conf 구성은 다음과 같습니다.

[ProxyList]  

socks5  127.0.0.1 9050 

이 때 A기기에 SOCKS 프록시 포트localhost:9050을 설정하면 B를 프록시 서버로 마음대로 자유롭게 여행할 수 있습니다.예: nmap 프록시 스캔 포트

proxychains nmap -sS 119.75.217.109