Privilege Escalation: Exploitation for Privilege (권한 상승 실습)

실습

실습 목표 : kail 에서 비교적 취약한 CJU VM 에 침투후 Lateral Movement 하여 Goal VM 에 있는 flag 를 획득해라 실습 환경 : CJU VM 과 Gaol VM 은 알파인 리눅스  CJU VM IP : 192.168.93.137  힌트 : CVE-2024-1086 , 숨겨진 역사

 

 

 

https://github.com/Notselwyn/CVE-2024-1086?tab=readme-ov-file

GitHub - Notselwyn/CVE-2024-1086: Universal local privilege escalation Proof-of-Concept exploit for CVE-2024-1086, working on mo

 

 

(CVE-2024-1086) 이곳에서 취약점을 통해 관리자 권한을 얻는 익스플로잇 바이너리를 미리 획득했다.

 

 

nmap을 통해 CJU VM에 22번 포트 (ssh)가 열려있는 것을 확인!

약 3천 개의 예측 비밀번호가 있는 딕셔너리 파일을 저장!

wget 은 웹 서버 URL을 통해 파일을 다운로드할 수 있는 명령어다 

passlist.txt 에 이외에도 다른 비밀번호를 추가해도 좋다.

 

그다음 msfconsole ( 메타스폴로잇 콘솔 )을 실행 

상세 옵션 

use auxiliary/scanner/ssh/ssh_login

보조 기능 모듈로 SSH 로그인 사용

 

set RHOST 192.168.93.137

피해 대상 시스템 아이피

 

set USERNAME root

root 계정으로 접속 

 

set PASS_FILE passlist.txt

비밀번호를 대입하기 위한 딕셔너리 파일 경로 

 

run

공격 실행

 

 

root 계정 진입 실패 후 cju 계정으로 진입 재시도 

결과 = 'cju:1111'

cju의 비밀번호 알아내는데 성공 

scp를 통해 cju 서버로 사전에 준비한 익스플로잇을 옮겨준다.

 

구문 : #scp [옵션] [파일명] [원격지id]@[원격지ip]:[받는위치]

(파일명뒤에 한 칸 띄우고 파일명을 넣어주면 복수로 전송 가능하며, 디렉터리를 전송할 수도 있다.)

 

ssh를 통하여 앞서 알아낸 cju 계정에 접속한 뒤 익스플로잇을 실행하게 되면

이렇게 루트 권한으로 권한 상승이 일어난다.

 

 

/root 안에 있는 파일 중에 힌트의 '숨겨진 역사' = history로 유추 

곧바로. ash_hostory 파일을 cat 명령어로 읽어보니 goal의 ssh 유저가 proxynova 인 것을 알아낼 수 있다

 

하지만 ssh 로 proxynova에 접속은 실패 ..

key 를 찾기 위해 많은 파일들을 보다가 

유저 이름이 proxynova 인것을 연결 하여 proxynova.com/tools/comb 를 활용

비밀번호는 d9vrzkeb 임을 알게 된다.

 

flag 는 SysSec{Welcom_to_Wooam_Dungeon}

성공 !