| 실습 |
| 실습 목표 : kail 에서 비교적 취약한 CJU VM 에 침투후 Lateral Movement 하여 Goal VM 에 있는 flag 를 획득해라 실습 환경 : CJU VM 과 Gaol VM 은 알파인 리눅스 CJU VM IP : 192.168.93.137 힌트 : CVE-2024-1086 , 숨겨진 역사 |
https://github.com/Notselwyn/CVE-2024-1086?tab=readme-ov-file
GitHub - Notselwyn/CVE-2024-1086: Universal local privilege escalation Proof-of-Concept exploit for CVE-2024-1086, working on mo
Universal local privilege escalation Proof-of-Concept exploit for CVE-2024-1086, working on most Linux kernels between v5.14 and v6.6, including Debian, Ubuntu, and KernelCTF. The success rate is 9...
github.com
(CVE-2024-1086) 이곳에서 취약점을 통해 관리자 권한을 얻는 익스플로잇 바이너리를 미리 획득했다.
nmap을 통해 CJU VM에 22번 포트 (ssh)가 열려있는 것을 확인!
약 3천 개의 예측 비밀번호가 있는 딕셔너리 파일을 저장!
wget 은 웹 서버 URL을 통해 파일을 다운로드할 수 있는 명령어다
passlist.txt 에 이외에도 다른 비밀번호를 추가해도 좋다.
그다음 msfconsole ( 메타스폴로잇 콘솔 )을 실행
상세 옵션
use auxiliary/scanner/ssh/ssh_login
보조 기능 모듈로 SSH 로그인 사용
set RHOST 192.168.93.137
피해 대상 시스템 아이피
set USERNAME root
root 계정으로 접속
set PASS_FILE passlist.txt
비밀번호를 대입하기 위한 딕셔너리 파일 경로
run
공격 실행
root 계정 진입 실패 후 cju 계정으로 진입 재시도
결과 = 'cju:1111'
cju의 비밀번호 알아내는데 성공
scp를 통해 cju 서버로 사전에 준비한 익스플로잇을 옮겨준다.
구문 : #scp [옵션] [파일명] [원격지id]@[원격지ip]:[받는위치]
(파일명뒤에 한 칸 띄우고 파일명을 넣어주면 복수로 전송 가능하며, 디렉터리를 전송할 수도 있다.)
ssh를 통하여 앞서 알아낸 cju 계정에 접속한 뒤 익스플로잇을 실행하게 되면
이렇게 루트 권한으로 권한 상승이 일어난다.
/root 안에 있는 파일 중에 힌트의 '숨겨진 역사' = history로 유추
곧바로. ash_hostory 파일을 cat 명령어로 읽어보니 goal의 ssh 유저가 proxynova 인 것을 알아낼 수 있다
하지만 ssh 로 proxynova에 접속은 실패 ..
key 를 찾기 위해 많은 파일들을 보다가
유저 이름이 proxynova 인것을 연결 하여 proxynova.com/tools/comb 를 활용
비밀번호는 d9vrzkeb 임을 알게 된다.
flag 는 SysSec{Welcom_to_Wooam_Dungeon}
성공 !
'보안' 카테고리의 다른 글
| [Incident Report] devuser SSH 계정 탈취 & 크립토마이너 제거 기록 (Rocky Linux 9) (0) | 2025.12.10 |
|---|---|
| 주통기 W-01, W-02, W-04, W-06을 점검하는 스크립트작성 (0) | 2024.12.15 |
| Hydra를 이용한 윈도우 서버 Password Guessing 공격 후 RDP 연결 (0) | 2024.12.13 |
| DNS 스푸핑 공격 실습 (1) | 2024.10.11 |
| Password Cracking (john the ripper) (0) | 2024.09.24 |