EMPIRE: BREAKOUT

1. IP 정보 확인

- Kali IP: 192.168.50.50

- 타겟 IP: 192.168.50.55

 

2.  서비스 정보 확인

- Open Service: HTTP, SMB

- OS: 리눅스

 

3. 서비스 접근

- 80 port : Apache 초기 페이지

(하위 디렉터리 스캔했으나 manual 만 발견)

 

- 10000 port : Webmin 로그인 페이지

(SQL Injection 취약점 미발견)

 

- 20000 port :Usermin 로그인 페이지

(SQL Injection 취약점 미발견)

 

- Samba 접근

* -L 은 접속할 서버 설정

* -N 은 No password 설정

 

4. 소스코드 내 암호문 발견

- 아파치 초기 페이지 소스 코드 내 암호문 발견

 

- 해당 구문으로 검색 결과, 'Brainfuck' 언어로 확인되어 splitbrain.org에서 디코딩 진행

 

- 디코딩 문자열 ".2uqPEfj3D<P'a-3" 습득

* 어디에 쓸지는 모르지만 우선 보관

 

5. Samba 서비스를 통한 사용자 계정 정보 탈취

- enum4linux 사용

* a 옵션은 모든 목록 사용

 

- cyber 계정 정보 획득

 

6. Usermin 로그인 및 터미널 획득

- 3번, 4번 과정에서 획득한 정보로 Usermin 로그인 성공

* Webmin은 로그인 불가

 

- 여러 메뉴 중에 Command Shell 존재

 

- 타겟 시스템 사용자 쉘 획득

 

- UserFlag 획득

 

7. 리버스 쉘 획득

 

8. 권한 상승 

(참고 링크: https://nxnjz.net/2018/08/an-interesting-privilege-escalation-vector-getcap/)

- getcap을 통해 tar 파일에 대한 읽기 권한 검사 예외(cap_dac_read_search)된 것 확인

* 즉, tar 파일을 사용하면 읽기 권한이 없는 파일도 읽을 수 있음

* getcap은 권한 검사가 우회(bypass)된 파일 목록 출력 (관련 설명: https://linux.die.net/man/7/capabilities)

(setuid 설정된 파일 중 취약점 못찾음, sudo 명령어는 존재하지 않음)

 

- shadow 파일은 탈취 성공했으나 crack은 실패

 

- /var/www/html, /var/usermin 디렉터리 내 특이사항 미발견

(윗 방법으로 usermin 디렉터리 확인했으나 힌트 미발견)

 

- /var/backups 폴더에서 특이한 파일 발견

* CTF를 하면 config, backup, bak, set 등으로 검색 자주 해야겠다...

 

- 해당 파일을 확인하기 위해 tar 이용 

 

- cyber 소유 파일로 잘 바뀌었고 내용도 확인

 

- root 권한 획득 및 RootFlag 발견

 

-  근데 쉘을 이상하게 얻었는지 cat가 안돼서 cyber로 권한 넘기고 확인!

 

- 하려했더니 또 안된다고 해서 봤더니 숫자 0이 아니고 영어 O였다. 

 

=> RootFlag 까지 클리어!