반응형
HackHiJack
HHJ
HackHiJack
전체 방문자
오늘
어제
  • 분류 전체보기 (99)
    • chatGPT (2)
    • pwn (2)
    • 워게임 (32)
    • Reversing (0)
    • Cryptography (12)
    • Web (6)
    • CTFs (16)
    • TryHackMe (6)
    • Go (5)
    • Forensics (18)

블로그 메뉴

  • 홈

공지사항

  • Welcome To HHJ's Blog

인기 글

태그

  • ㅣ
  • rootme
  • function
  • package
  • pwnable.kr
  • shellctf
  • linkfile
  • func
  • Import
  • webhacking.kr
  • forensic
  • hacking
  • 해킹 #TryHackMe #WriteUp #ignite
  • 암호 #AES #드림핵
  • analyis
  • main
  • startup
  • 포렌식
  • main.go
  • go

최근 댓글

최근 글

티스토리

hELLO · Designed By 정상우.
HackHiJack

HHJ

TryHackMe - inclusion (WriteUp)
TryHackMe

TryHackMe - inclusion (WriteUp)

2021. 1. 17. 20:33
728x90
반응형

오늘은 TryHackMe의 inclusion 룸을 풀어보겠다.

 

일단 deploy를 하여 ip를 확인하자.(openvpn연결 확인)

 

먼저 사이트에 접속을 해보자.

접속을 하면,

 

위와 같이 나올 것이다.

 

Hacking this world는 딱히 중요하지는 않았고,

LFI-attack에 들어가서 소스를 확인해보자.

원래 LFI-attack 창보다 소스로 확인하면 더욱 보기 좋게 되어있다.

밑에 부분에 이런 위 같은 부분이 있었다.

 

"../" 는 상위디렉토리로 가는 것이다. 이런 취약점을 이용하여 비밀번호를 알아내야 하는 것 같다.

 

일단 그전에 nmap을 이용하여 ip의 정보를 확인하자.

Ubuntu로 웹이 돌아가고 있고,

22(ssh), 80(http)로 돌아간다.

Nmap은 딱히 필요한 정보가 없는 것 같다.

 

이제 LFI-attack을 해보자.

원래 LFI-attack페이지 주소를 보면,

10.10.118.244는 deploy한 ip

name이 파일을 확인하여 읽는 것 같다.

lifattack을 지우고 ../../../../../etc/passwd 라고 치고 이동하고 소스를 보면,

 

위처럼 정보가 나온다.

밑에 쪽에 # 다음으로 falconfeast 패스워드가 "rootpassword" 라고 되어 있다.

 

위 정보를 가지고 유추하면, root, falconfeast 두 사용자가 있고, 각각의 /root , /home/falconfeast에 디렉토리에 flag가 있다고 생각할 수 있다.

그리고 문제 1, 2가 user.txt, root.txt의 내용을 묻는 것이니, /root/root.txt. /home/falconfeast/user.txt에 있다고 생각할 수 있다.

 

그러면 

http://<deply한 ip>/article?name=../../../../../home/falconfeast/user.txt

위처럼 이동하면 user.txt flag가 나온다.

 

그리고

http://<deply한 ip>/article?name=../../../../../root/root.txt

위처럼 이동하면 root.txt의 flag를 얻을 수 있다.

 

위처럼 유추해서 직접적으로 넣을 수 있지만 확실한 지는 모른다.

그러면 확인하기 위해서 ssh를 사용해보자.

 

ssh falconfeast@<deploy한 ip>

위처럼 접속을 하고,

falconfeast password 에 "rootpassword"라고 친다.

그러면 접속이 완료된다.

이제 pwd를 해서 확인하면

처음에 유추한 그 경로가 맞고,

그 디렉토리 안에 user.txt가 있다.

아까 http에서 확인 것이랑 똑같은 걸 알 수 있다.

그리고 sudo -l을 하면

socat 명령어가 nopasswd라고 한다.

 

그럼 sudo, socat취약점을 대입하면 root로 전화할 수 있다.

gtfobins.github.io/gtfobins/socat/#sudo

이 사이트에 취약점 명령어가 있다.

sudo socat stdin exec:/bin/sh

이렇게 명령어를 주면,

$ 표시가 사라지면서 root로 전환된다.

이제 /root로 이동하면 유추한 것과 같이 /root 안에 root.txt가 있다.

root.txt의 내용도 똑같은 걸 확인할 수 있다.

The End

728x90
반응형

'TryHackMe' 카테고리의 다른 글

TryHackMe - StartUp🌶️  (0) 2021.01.24
TryHackMe - RootMe💻  (0) 2021.01.16
TryHackMe - Ignite🔥  (0) 2021.01.16
TryHackMe - Hydra🐉 (WriteUp)  (0) 2021.01.11
TryHackMe - Pickle Rick🥒(WriteUp)  (0) 2021.01.10
    'TryHackMe' 카테고리의 다른 글
    • TryHackMe - StartUp🌶️
    • TryHackMe - RootMe💻
    • TryHackMe - Ignite🔥
    • TryHackMe - Hydra🐉 (WriteUp)
    HackHiJack
    HackHiJack
    $ whoami HHJ

    티스토리툴바