OSCP
-
Hack the Box - Updown 문제 풀이(write-up)OSCP/Hack The Box 2024. 8. 27. 09:23
이번 포스팅은 Updown이라는 박스의 문제를 풀어볼 것이다.이 박스의 난이도는 medium으로 easy와는 난이도 차이가 한 단계 난다. 그러나 체감 난이도는 2단계 정도 up 된 느낌...user 플래그를 찾는데에 시간이 대부분 소요됐고 root 플래그는 금방 찾을 수 있게 설계되었다. Updown 문제 요약-> 디렉터리 및 파일 브루트 포싱으로 숨겨진 dev 서브도메인 및 dev/.git 디렉터리 발견-> .git 디렉터리에서 LFI 취약점, 파일 업로드 시 확장자 검증 취약점, Request Header replace 조작 취약점 발견-> dev.siteisup.htb 에서 리버스 쉘 업로드-> /home/developer/.ssh 접근하여 개인키 복사 후 로컬 PC에서 일반계정으로 ssh 접근 ..
-
Hack the Box - Busqueda 문제 풀이(write-up)OSCP/Hack The Box 2024. 8. 22. 13:29
지난 포스팅에 이어서 이번엔 Busqueda 문제 풀이를 하는 시간을 가져보겠다. Busqueda는 easy 난이도이지만 나에게는 easy와 medium의 사이 느낌이다. 그래서 user 플래그까지 찾는 데에는 시간이 많이 소요되지 않았지만 root 플래그를 찾는데 시간이 많이 걸렸다. 첫 vip 결제 후 박스... 찾아보니 busqueda는 스페인어로 "찾다"라는 뜻이다. 블로그 포스팅을 위해 다시 한번 풀다가 처음 보는 htb의 vpn오류와 어제 됐는데 왜 오늘은 안 되지? 의 마법과 같은 문장이 발동했다. 푸는 데에 하루정도 걸렸으면 포스팅하는 데에 이틀은 걸린 것 같다. Busqueda 문제 요약-> 웹 서버의 프레임워크 취약점으로 사용자 계정[ svc ] 접근 후 user 플래그 획득 및 사..
-
Hack The Box 시작하기OSCP/Hack The Box 2024. 8. 20. 14:34
Hack The Box 줄여서 HTB는 다른 해킹 실습사이트처럼 [ex) 드림핵] 웹에서 다 해결할 수 있는 사이트가 아니다. HTB의 서버에 VPN 연결을 하여 진행되는 형식이다. 애초에 침투 테스트의 영역이라 해킹툴도 써야 해서 보통 칼리 리눅스를 사용해서 문제를 푼다. 준비물 : VM머신 + 칼리 리눅스 HTB를 처음 접하게 된다면 난해할 것이다. 영어로 되어있고 하는 방법도 제대로 나와있지 않기 때문이다. 그래서 시작부터 문제 접근까지 순서를 정리해보았다. 1. 구글에 hackthebox를 검색해서 들어가면 우리가 문제를 풀 사이트가 아닌 공식 센터(?)가 나오게 된다. 그래서 차라리 https://app.hackthebox.com 로 URL에 직접 접근으로 들어가자. 2. 로그인 페이지가 뜰 것..