TryHackMe - Simple CTF (1)

 

 

 

1번 질문. 1000번 포트 아래에서 실행 중인 서비스는 모두 몇 개입니까?

 

 

sudo nmap -sS -sV -T4 -p 1-1000 <Target IP>

Nmap 명령어로 1~1000 포트에서 실행되는 서비스를 스캔해 본다. 

 

 

21/tcp (FTP)

80/tcp (HTTP)

이렇게 두 개가 나왔으므로 정답으로 "2"를 입력

 

 

 

2번 질문. 상위 포트에서 실행되는 것은 무엇입니까?

 

높은 포트번호에서 실행되고 있는 서비스를 묻는다. 방금은 1000까지 스캐닝을 해주었으니 1001부터 이번엔 3000까지 스캔

 

sudo nmap -sS -sV -T4 -p 1001-3000 <Target IP>

 

 

2222/tcp (SSH)

그랬더니 2222번 포트로 운영 중인 OpenSSH가 발견

 

정답으로 "ssh"를 입력

 

 

3번 질문. 애플리케이션에 대해 사용 중인 CVE는 무엇입니까?

이제 공격할 타겟의 CVE(Common Vulnerabilities and Exposure)를 입력해야 하는 상황이다. 

혹시나 하고 OpenSSH 7.2p2 등 SSH와 관련된 CVE들을 입력해 보아도 정답으로 인정하지 않아 ssh가 아닌 웹서버의 취약점을 검색을 해보기로 한다. 

 

 

 

목표의 아이피로 브라우저를 통해 접속해 봤더니 아파치 서버가 열려있었다. 

 

이제 실제 운영되고 있는 메인 페이지로 접속을 위한 경로를 알아내기 위해 gobuster라는 URIs, 디렉토리 스캔 도구를 쓰기로 한다. 

 

gobuster의 관련 명령어 옵션들은 아래서 확인할 수 있다. 

https://www.kali.org/tools/gobuster/

gobuster | Kali Linux Tools

 

gobuster dir -u http://10.10.164.52 -w /usr/share/wordlists/dirb/common.txt -t 100

dir: 디렉터리/파일 열거 모드 사용

-u: url

-w: 사전 파일 경로

-t: 멀티 스레드 개수(기본 10)

 

 

/simple이라는 게 가장 눈에 보이는데 브라우저로 직접 이동해본다. 

 

 

실제 /simple 경로 페이지 화면이다. "CMS Made Simple" CMS(Content Management System)의 한 종류로 보이며, 

실제로 인터넷에 오픈소스로 공유하고 있는 CMS라고 함

 

이제 진짜 목표물을 찾은 것 같아서 searchsploit으로 CVE를 찾아보려고 "cmd made simple"을 검색해 보았더니

 

관련된 결과물이 수두룩하게 나온다. 버전도 포함해 검색을 할 수 있으니 사이트에서 CMS의 버전을 찾아본다. 

 

 

찾는 건 어렵지 않게 페이지의 가장 하단에 2.2.8이라 대놓고 적혀 있었음

 

 

searchsploit CMS Made Simple 2.2.8

 

결과가 딱 하나 나옴

 

해당 취약점의 자세한 정보를 찾기 위해서는 -p 옵션을 사용해야 한다. 

 

 

searchsploit -p php/webapps/46635.py

 

  Exploit: CMS Made Simple < 2.2.10 - SQL Injection
      URL: https://www.exploit-db.com/exploits/46635
     Path: /usr/share/exploitdb/exploits/php/webapps/46635.py
    Codes: CVE-2019-9053
 Verified: False
File Type: Python script, ASCII text executable

 

 

 

 

아무튼 CVE를 찾았으니 정답 입력란에 한번 입력을 시도 끝에 정답으로 인정받았다.

 

 

 

4번 질문. 애플리케이션은 어떤 종류의 취약성에 취약합니까?

 

익스플로잇 이름이 "CMS Made Simple < 2.2.10 - SQL Injection"이니깐 SQLI가 정답이다. 

 

 

 

5번 질문. 패스워드가 무엇입니까?

 

비밀번호를 알아내기 위해 방금 찾은 CVE의 스크립트를 직접 실행해 본다. 

 

"/usr/share/exploitdb/exploits/php/webapps/46635.py"에 있는 스크립트를 실행하였는데 

요런 print가 괄호를 쓰지 않은 문법에러가 뜨므로, 따로 텍스트 에디터로 print를 print()로 수정해 주었음 

 

 

이 스크립트를 사용하려면 -u 옵션으로 타겟을 지정해 줄 필요가 있다. 

 

 

python3 46635.py -u http://10.10.164.52/simple/

 

 

실행하니깐 하나하나씩 문자를 대입해 보면서 정보들을 유추해내고 있다. 여기서는 시간이 좀 걸리니 여유를 가지고 기다려본다. 

 

나온 결과를 어드민 로그인 페이지에서 시도를 해보았는데 로그인이 안 됐다. 아마 위에서 찾은 패스워드는 해시화된 결과라서 따로 패스워드 리스트에서 위와 일치한 해시를 갖는 비밀번호를 찾아내야 하는 모양이었다.

 

 

python3 46635.py -u http://10.10.164.52/simple/ --crack -w /usr/share/wordlists/rockyou.txt.

다시 워드리스트 옵션 경로(--crack -w <path>)를 추가하고 실행 시도

 

 

근데 이 과정에서 인코딩 에러며, 오류로 실행이 중단되면 처음부터 시작하는 등 여러 가지 불편요소들이 난무하여서 결국 소스를 내가 직접 수정해 주었다..

 

 

그렇게 우여곡절 끝에 찾아낸 크랙된 비밀번호의 정답은 "secret"

 

 

어드민 로그인 페이지에 접근(http://<target>/simple/admin) 해서 "mitch"와 "secret"을 넣고 제출을 해본다. 

 

 

드디어 로그인에 성공해 관리자 페이지 접속 성공

 

 

5번 질문(비밀번호는 무엇인가요?)의 정답은 "secret"이다. 

 

 

 

이제 진행도 50%가 끝났고 나머지 50%는 다음에 해봐야겠다. 스크립트를 고치는데만 많은 시간과 열정을 빼앗겨버렸다.. 

 

 

참고: 

https://highon.coffee/blog/nmap-cheat-sheet/

Nmap Cheat Sheet: Commands & Examples (2022)

 

https://www.kali.org/tools/

Kali Tools | Kali Linux Tools