THM - Root me

Root ME

 

Task 1 - Reconnaissance

먼저 정보 수집을 진행한다.

nmap을 통해 open된 Port 정보를 수집한다.

nmap -sV -T4 -F --version-light targetIP

해당 옵션을 이용하면 서비스의 버전 정보도 확인이 가능하다.

 

http 서비스가 동작 중이니 브라우저를 통해 접속하면 웹 페이지가 나타난다.

해당 페이지에있는 디렉토리를 확인하기위해 gobuster 툴을 이용해 디렉토리 스캐닝을 진행한다.

gobuster -u targetIP -w common.txt

※wordlist : https://github.com/kkrypt0nn/wordlists

/panel, /uploads 디렉토리를 확인해보면 파일을 업로드하고 업로드 내역을 확인할 수 있는 페이지가 확인된다.

/panel

wapplalyzer를 통해 확인하니 해당 페이지는 PHP로 작성된것을 확인할 수 있다.

Task 2 - Getting a Shell

아래 PHP 기반 리버스 쉘 코드를 이용한다. PHP 리버스 쉘 코드는 서버에서 클라이언트로 연결할 서버 주소 및 포트를 변경해주어야한다.

※ https://github.com/pentestmonkey/php-reverse-shell

 

해당 파일을 /panel 페이지에 업로드 시도해보면 업로드 실패가 발생한다.

내부적으로 확장자 필터링을 거치는것으로 보인다.

 

확장자를 php5 로 변경하여 php 확장자를 우회하여 업로드하면 정상적으로 업로드가 된다.

업로드 완료 후 /uploads 페이지를 확인해보면 파일이 정상적으로 업로드된걸 확인할 수 있다.

 

이제 nc를 통해 연결 대기 시킨 후 uploads 페이지에서 실행한다.

nc -nvlp 8080

성공적으로 리버스 쉘이 생성된걸 확인할 수 있다.

 

Task 3 - Privilege Escalation

id 를 확인해보니 웹 페이지가 동작하고있는 권한(www-data)로 쉘이 생성되었다.

해당 권한으로 할 수 있는 부분은 제한적이라 root 권한으로 권한 상승을 시도한다.

 

root 권한으로 상승하기 위해 SetUID가 설정된 파일을 찾아본다.

find / -user root -perm 4000\

여러 파일 중 특이하게 python에 소유자는 root, SetUID가 설정되어있다.

하여 python을 통해 실행하는 코드가 root 권한으로 실행이 된다.

아래 코드를 실행하여 root 권한의 쉘을 획득한다.

python -c 'import os; os.execl("/bin/sh","sh","-p")'

참고(bypass restricted shell)  : https://gtfobins.github.io/

 

획득한 쉘의 권한을 확인해보면 euid(effective uid)가 root인것을 확인할 수 있다.

문제에서 제시한 /root/root.txt 파일을 확인해서 flag를 확인할 수 있다.