[tryhackme] RootMe

정보수집

• OpenSSH 7.6p1
• Apache httpd 2.4.29
• 업로드 기능이 있는 /panel 페이지 확인

< nmap 스캔 결과 >

< gobuster 툴을 이용한 웹디렉토리 스캔 >

< 업로드 기능 확인 >

서비스분석

• php 확장자 업로드 제한
• php와 비슷한 확장자(php4, php5, phtml)로 리버스쉘 업로드
  
  

< php 확장자 업로드 시 업로드 실패 >

< php4, php5, phtml 확장자는 업로드 성공 >

Exploit

• 리버스쉘 php 페이지 요청하여 쉘 획득
  
  

Post-Exploit

• setuid 설정 파일 검색

find / -type f -perm -04000 -ls 2>/dev/null

• setuid가 설정된 python 명령어로 root 쉘 획득