Port Scan

Service enum

php 형태의 웹페이지 발견하여 gobuster사용 디렉토리 스캔

회원등록 시 role id를 사용해 admin 계정 확인
roleid를 1로 변경시 admin 페이지 접속 가능

admin 계정으로 접속 시 dev-staging-01.academy.htb 발견
/etc/hostname에 등록하여 접속 시도

페이지 탐색 시 오류 결과들이 나오는데 정보 탐색 중 Laravel 앱 확인하여 searchsploit 탐색 시 결과 노출
(단 버전 정보까지는 나와있지 않아 모두 확인해봐야함)

오류 페이지에서 얻은 정보로 msfconsole에서 해당 취약점 사용시 쉘 획득 가능
exploit/unix/http/laravel_token_unserialize_exec

linpeas.sh 사용 시 DB에 대한 정보를 획득하였지만 해당 정보로 mysql 로그인이 불가능

해당 패스워드로 /etc/passwd 에서 로그인이 가능한 계정으로 ssh로그인 시도

// bash, sh 로그인 계정 추출
cat /etc/passwd | grep sh$
// 해당 계정중 계정명만 추출
cat /etc/passwd | grep sh$ | awk -F: '{print $1}'

hydra를 통해 추출한 계정명에서 획득한 DB명 로그인 시도시 cry0lt13계정에서 로그인 가능한것을 확인

hydra -L users -P passwd 10.10.10.215 ssh

id를 입력하여 권한 확인 시 adm에 속한것을 확인. Linux에서 adm 권한은 /var/log파일을 확인할 수 있음

검색결과 흥미로운 파일은 audit 폴더가 있음
linux커널은 많은것을 기록하지만 TTY 입력은 기록하지 않음. audit가 있을 경우 aureport를 활용하여 검색이 가능

sudo -l 결과 composer가 su권한으로 사용한것을 확인

해당 명령어를 이용하여 root로 권한상승 가능