파이트해커

TCP 포트 스캔 결과

80번 포트로 웹 페이지 접속

"Security Snapshot" 메뉴를 클릭하면 '/data/[id]' 경로로 리다이렉트 됨 

다른 계정의 스캔 결과도 [id]만 바꿔서 조회 가능

데이터가 존재하는 계정은 0 밖에 없다

0 계정의 pcap 파일을 다운로드

아까 포트 스캔 했을때, ftp 포트가 열려있는게 눈에 띄었다

다운받은 pcap 파일에 FTP 필터를 적용해서 보면

nathan 계정의 패스워드를 확인 가능

ssh에서 해당 계정으로 로그인 시도 ㄱ

성공

flag 확인

권한 상승

이것저것 뒤져보다가 파일이 너무 많아서 getcap 명령으로 탐색해봤다

군침이 싹 도는 cap_setuid 발견

구글링해서 이런걸 찾았다

https://gtfobins.github.io/gtfobins/python/

대충 파이썬에 CAP_SETUID 기능이 설정되어 있으면, uid를 조작하여 권한을 상승하는 방법이 존재한다는 내용

파이썬 ㄱ

root 플래그 확인 성공

문제

간만에 재밌는 문제였다.

풀이

문제 이름 대로 tomcat manager 페이지에 접속 시도를 했지만 아이디와 비번이 필요했다.

문제 파일의 Docker 파일에서 manager 페이지의 계정 정보가 있는 파일의 절대 경로를 확인할 수 있었다.

메인페이지의 이미지를 로드하는 방식에서 LFI 취약점을 발견했다.

LFI 취약점으로 tomcat-users.xml 파일의 내용을 확인했다.

tomcat manager 페이지의 패스워드를 알아냈다.

이제 알아낸 계정으로 tomcat manager 페이지에 접속한다.

파일 업로드 기능을 이용해 웹쉘을 업로드한다.

웹쉘이 정상적으로 업로드된 걸 확인할 수 있다.

웹쉘로 flag 파일을 확인해보면 실행파일인 것을 알 수 있다.

'/flag'를 입력하면 flag 파일이 실행되어 flag가 출력된다.