[Hack The Box] Shoppy 풀이

💡 Hack-The-Box Shoppy 풀이 입니다.

문제

Enumeration

┌──(root㉿kali)-[/home/kali/Desktop]
└─ nmap -sV -p - 10.129.227.233 -vv --min-rate 3000

Nmap scan report for 10.129.227.233
Host is up, received echo-reply ttl 63 (0.081s latency).
Scanned at 2023-02-11 09:24:39 EST for 122s
Not shown: 65532 closed tcp ports (reset)
PORT     STATE SERVICE  REASON         VERSION
22/tcp   open  ssh      syn-ack ttl 63 OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
80/tcp   open  http     syn-ack ttl 63 nginx 1.23.1
9093/tcp open  copycat? syn-ack ttl 63
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Nmap done: 1 IP address (1 host up) scanned in 122.20 seconds
           Raw packets sent: 65540 (2.884MB) | Rcvd: 65536 (2.621MB)
                                                                            

총 3개의 서비스가 열려있습니다. http(80) 서비스와 , 어떤 서비스 인지는 모르지만 9093 포트로 접속을 해봅니다.

위와같은 데이터들이 나오고, 일부 항목들을 구글링 해보면 해당 페이지는 prometheus 라는 어플리케이션에서 사용되는 페이지 입니다.

문제를 다 풀어본 결과 해당 페이지는 문제풀이와 연관이 없었기 때문에 추가적인 설명은 하지 않겠습니다.

그 다음은 웹서비스 입니다.

/etc/hosts 파일에 다음과 같이 도메인을 등록해 주고 다시 접속을 해주면 됩니다.

# /etc/hosts 
10.129.227.233 shoppy.htb

사이트를 둘러봐도 특별한 기능이 존재하지 않습니다.

subdomain / subdirectory 리스팅을 수행해 봅니다.

# subdirectory
wfuzz -c --hc 404 -w /usr/share/wordlists/dirb/commont.txt 'http://shoppy.htb/FUZZ'

# subdomain
wfuzz -c -w /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -u shoppy.htb -H "Host: FUZZ.shoppy.htb" --hc 301

먼저 subdirectory의 결과입니다.

admin 경로로 접속을 해봅니다.

SQL Injection

계정 인젝션을 수행해본 결과, 백엔드에서 MongoDB를 사용하는 것으로 추측되고 계정의 검증을 사용하는 부분은 다음과 같은 형태일 것으로 추측하였습니다.

db.user.find({$where: `this.username=='${req.query.username}'&&this.password=='${req.query.password}'`});

따라서 인젝션은 다음과 같이 수행하였습니다.

username='||1||'&password=123

검색기능 역시 인젝션이 가능하여 동일한 방법으로 인젝션을 수행합니다.

admin 계정과, josh 계정의 비밀번호 해시값을 얻을 수 있었습니다.

Crack MD5

hash-identifier 명령어를 통해 확인해본 결과 md5 인 것을 알 수 있습니다.

두 계정 모두 rockyou.txt 파일을 이용하여 크래킹을 시도해 봅니다. 시도 결과 admin 계정의 비밀번호는 얻지 못하였고, josh 계정의 비밀번호는 얻을 수 있었습니다.

id : josh 
pw : remembermethisway

이전에 실행해놓은 wfuzz 결과를 확인해보면, subdomain으로 mattermost 가 존재함을 확인할 수 있습니다.

획득한 josh 계정으로 로그인을 합니다.

채팅 내역에서 jaeger 계정정보를 획득합니다.

user 계정의 flag를 획득합니다.

/home 디렉터리를 보면 deploy 계정이 존재함을 알 수있습니다.

해당 홈디렉터리에 password-manager 파일이 존재합니다. 실행 권한은 없고 실행파일에 읽기 권한이 있기 때문에 해당 파일을 복사하여 kali linux 로컬에서 리버싱 해봅니다.

리버싱은 ghidra로 수행하였으며, 그 결과로 비밀번호를 알아낼 수 있습니다.

sudo -l 명령어를 입력해보면, jaeger 계정으로 deploy 권한으로 password-manager 프로그램을 수행할 수 있습니다.

deploy 계정의 비밀번호를 알아냈습니다.

Docker Breakout

deploy 계정에 docker 그룹권한이 주어져 있습니다. docker breakout 기술을 이용해서 root 권한 탈취를 시도합니다.

docker iamges 명령어 수행결과 alpine 이미지가 존재합니다.

다음과 같이 --privileged권한을 줘서 breakout이 가능하도록 도커 환경을 수행합니다.

--privileged 권한이 주어지면, 호스트 머신으로 mount가 가능해 집니다. host 머신의 하드인 /dev/sda1 로 다시 mount를 하여 전체 파일시스템의 접근권한을 획득합니다.