# LFI

jjs9366

아... 벨로그 에러로 썻던게 날라가서 다시써야된다... HackTheBox 오픈 베타 시즌2의 11주차 머신으로 중간 난이도로 오픈되었다. 리눅스 머신으로 오픈된 Zipping 머신에 대한 해결 과정을 기록한다. Recon Port Scan 발급된 머신으로 포트 스캔 결과 간단하게 22/tcp, 80/tcp가 오픈된것을 확인할 수 있다. WEB 80/tcp로 접근 시 index.php, upload.php 페이지가 확인되며, 업로드 페이지는 이력서를 업로드받는 기능을 한다. Foothold 위에서 확인된 업로드 페이지의 문구에서는 단일 pdf가 포홤된 zip 파일만 업로드 가능하다고 명시되어있다. 테스트를 위해 한줄 웹쉘

jjs9366

깜짝놀란 nginx rever proxy의 misconfiguration에 대해서 다루는 머신이라 신선했다. 실제로 이런 케이스를 마주칠 가능성이 크진 않겠지만 아는만큼 보이지 않겠나? Port Scan 생성한 머신을 대상으로 가장 먼저 포트 스캔을 진행한다. 대상 머신 IP에서 22/tcp 80/tcp 3000/tcp가 확인되며, 22는 SSH, 80, 3000는 웹 서비스로 확인되며 microblog.htb라는 호스트명을 확인하였다. 80/tcp는 app.microblog.htb로 서비스중으로 아래와 같이 로그인, 회원가입 기능이 확인된다. 또 메인 페이지 최하단에 공개된 소스코드 저장소 링크가 확인되며 해당 링크는 gitea 레포지토리

jjs9366

Port Scan 대상에서 오픈된것으로 확인되는 포트는 다른 머신과 동일하게 22/tcp, 5000/tcp. 8000/tcp로 확인으며, bagel.htb 도메인으로 확인되었다. 8000/tcp는 Flask 웹 서비스로 확인되어 브라우저를 통해 http://bagel.htb:8000/에 접근하니 /?page=index.html# 경로로 리다이렉트 되면서 아래와 같은 메인 페이지를 확인할 수 있다. Attack - LFI `pa

jjs9366

첫번째 미디움 난이도 머신이다. 머신을 Spawn하고 발급된 머신의 IP를 대상으로 포트스캔을 먼저 진행했다. 대상 호스트에는 22/tcp, 80,tcp가 오픈되어있으며 웹 서비스에 접근하여 확인된 도메인은 only4you.htb이다. 웹서비스

jjs9366

이번 머신을 풀이 과정에서 초기 침투를 진행하지 못해 구글링을 통해 알아내게되었으며, 정찰을 통해 취약점에 접근하는것이 아닌 공격자의 꼼꼼함(?)으로 발생할 수 있는 취약점이였다. 그렇기에 풀이 과정을 기록할지 고민하다가 나중에 또 복기할 수 있으니 포스팅하기로 결정했다. 머신을 실행하고 발급된 머신의 IP를 대상으로 포트스캔을 먼저 진행했다. 대상 호스트에는 22/tcp, 80,tcp가 오픈되어있으며 웹 서비스에 접근하여 확인된 도메인은 `stocker.

jjs9366

머신을 실행하고 발급된 머신의 IP를 대상으로 포트스캔을 먼저 진행했다. 대상 호스트에는 22/tcp, 8080/tcp 포트가 오픈되어있으며, Linux 계열의 OS인것으로 파악되었다. 웹 서비스로 추측되는 8080/tcp에 접근하니 일반적인 브랜딩 페이지로 보이는 사이트에 접속된다. <img src="https://velog.velcdn.com/images/jjs9366/post/c2b435ad-0350-442b-854e-927be9118e03/ima

kal501

따라서 LFI 취약점은 서버에서 파일을 읽을 수 있또록 하고 암호 또는 민감한 정보가 있는 파일을 읽을 수 있습니다. 실제 대상 서버에 대한 전체 액세스 권한 또는 전체 제어 권한을 얻을 수 있습니다. 이제 LFI를 이용하여 리버스 쉘을 획득해보겠습니다. 서버에서 파일을 읽을 수 있으므로 해당 서버에서 무엇이든 쓸 수 있다는 점을 악용하는 것입니다. 읽을 수 있는 파일에 코드를 주입하는 것을 시도합니다. /proc/self/environ /var/log/auth.log /var/log/apache2/access.log 먼저 environ 파일에 코드를 주입해보겠습니다. 먼저 현재 컴퓨터에서 파일을 확인해봅니다. 위 파일은 현재 환경에 대한 정보를 포함하고 있는 파일입

kal501

LFI(Local File Inclusion) 공격(포함)할 파일이 공격대상 서버에 존재하며 우리는 이 파일을 악용하는 것입니다. 즉 우리는 해당 서버에 파일에 접근하여 그 파일을 열어보는 행위를 하는 것입니다. 이러한 취약점은 동일한 서버에 존재하는 모든 파일을 읽을 수 있게 됩니다. 따라서 현재 DVWA에 디렉터리는 /var/www/dvwa지만 이곳에 속하지 않고 외부에 존재하는 파일 또한 읽을 수 있게 됩니다. 이 취약점이 중요한 이유로는 위와같이 다른 모든 파일을 읽을 수 있기 때문입니다. 서버 컴퓨터에 저장된 파일을 읽기 위해서 URL을 이용합니다. 해당 서버가 리눅스 계열 운영체제를 사용한다면 사용자 계정 정보를 /etc/passwd 파일에 저장할 것이고 더 나아가 /etc/shadow 파일까지 접근할 수 있다면 최선일 것입니다. ![](https://velog.velcdn.com/images/kal501/post/7731f83b

jjs9366

Hack the box의 Machine 중 Laboratory 문제를 해결하는 과정을 기록 대상에 대한 Nmap 스캔 결과 아래와 같은 포트들과 함께 'git.laboratory.htb' 라는 서브 도메인이 존재함. 22/TCP(OpenSSH) 80/TCP(Apache 2.4.41) 443/TCP(Apache 2.4.41) 또 다른 서브 도메인이 존재하는지 확인해보기 위해 ffuf를 돌려봤더니 git 이외 존재하는지 않는것 같다. ffuf -w SecLists/Discovery/DNS/subdomains-top1million-20000.txt -u https://laboratory.htb/ -H "Host: FUZZ.laboratory.htb" <i

jjs9366

Hack the box의 Starting Point 중 Included 문제를 해결하는 과정을 기록 이번 문제도 동일하게 포트 스캔부터 시작했다. 80/TCP : HTTP(Apache httpd 2.4.29(ububtu) 69/udp : tftp 웹서비스 접근 시 "/?file=home.php"에 접근된다. (LFI!🔥) 유심히 봐야할 계정으로는 mike, tftp 계정이다. <img src="https://velog.velcdn.com/images/

jjs9366

Hack the box의 Starting Point 중 Responder 문제를 해결하는 과정을 기록 HTB의 첫번째 포스팅이다. 이번 문제의 타이틀은 Responder로 80포트가 열려있는 대상을 확인했다. 접근 시 unika.htb라는 도메인으로 리다이렉션되며 연결이 불가능하다. hosts 파일에 ip와 도메인을 등록하고 접근하면 접근 가능하다 😎 <img src="https://velog.velcdn.com/images/jjs9366/post/c82

jjs9366

PentesterLab의 Api to Shell의 풀이 과정을 기록 문제 페이지에 접근하면 아래와 같이 API Documentation을 확인할 수 있다. register와 login API에 접근하면 token이 부여된다. files API 접근할 경우 파일 list를 받아온다. <img src="https://images.velog.io/images/jjs9366/post/55dfce14-7360-42a9-a3fe-a15a26868528/image.png" wid