writeup/HTB

[HTB] UnderPass

tnvori 2025. 5. 6. 21:50

 

고척돔에 야구를 보러갔다. 기아와 키움의 경기였는데, 어제가 어린이날이라고 파워레인저 붐붐포스?와 꼬마애들이 나와서 시구했다. 경기는 기아가 5대3으로 이김

 

일단 스캔을 해.

ssh와 http가 작동 중이다.

 

웹 서비스를 대상으로 dirsearch를 시도해볼 수 있다.

dirsearch는 웹 서버에서 숨겨진 디렉터리나 파일 찾는 도구이다. 기본적으로 사전(dictionary)을 이용해 URL 경로를 무차별적으로 요청하여 존재하는 경로를 식별한다.

뭔가 많이 나왔는데, 전부 403 Forbidden이다. 흠

 

막혀서 찾아보니 snmpwalk라는 게 있다. SNMP(Simple Network Management Protocol)를 사용하는 네트워크 장비에서 시스템 정보를 트리 구조로 쭉 가져오는 명령어다. 보통 서버, 라우터, 스위치 등 네트워크 장비에서 상태나 설정 정보를 비인가 접근 없이 확인할 수 있어 정보 수집(Enumeration) 단계에서 매우 유용하다고 한다.

 

snmpwalk를 시도해보기 위해서는 UDP가 열려 있어야 된다. 이를 확인해본다.

 

sudo snmpwalk -v 2c -c public 10.10.11.48

위를 실행해본다. 여기서 public은 SNMP에서 디폴트로 사용되는 커뮤니티 문자열(일종의 읽기 전용 비밀번호)이다.

public이라는 문자열로 읽기 접근이 허용되어 있다면, 다음과 같은 정보들을 얻을 수 있습니다:

  • 시스템 이름
  • 운영체제 정보
  • 네트워크 인터페이스 목록
  • 유저 계정 정보
  • 실행 중인 프로세스 목록
  • 디스크 및 메모리 사용량 등

 

결과는 위와 같다.

iso.3.6.1.2.1.1.4.0 = STRING: "steve@underpass.htb" iso.3.6.1.2.1.1.5.0 = STRING: "UnDerPass.htb is the only daloradius server in the basin!"

일단 이 정도가 맛있어보인다.

daloradius 서버가 동작 중인 것을 알 수 있다.

 

🧩 구성 PHP + MySQL/MariaDB
🔒 역할 사용자 계정 관리, 인증 로그 확인, NAS(Access Point) 설정 등
💼 용도 ISP, 캠퍼스 네트워크, VPN 서버 등에서 사용자 인증 관리
🌐 웹 인터페이스 /daloradius, /admin, /radius 같은 경로에 설치되는 경우 많음

그렇다고 하는데, 위 경로를 이용해볼 수 있을 것 같다.

 

경로가 존재하고 접근 가능한 것을 확인했다.

 

 

환경 맞추기 번거로워서 결제하고 왔다. 진짜 열심히 해야 함

 

로그인 페이지도 발견했다.

기본 계정 administrator/radius로 시도했지만 실패

 

https://github.com/lirantal/daloradius

 

GitHub - lirantal/daloradius: daloRADIUS is an advanced RADIUS web management application for managing hotspots and general-purp

daloRADIUS is an advanced RADIUS web management application for managing hotspots and general-purpose ISP deployments. It features user management, graphical reporting, accounting, a billing engine...

github.com

daloradius 깃허브가 있는데 참고할 수 있을 거 같다.

경로 중 app/operators/가 눈에 띈다.

 

여기도 로그인 페이지가 존재한다.

/app/operators/login.php에 접근 후, 기본 계정으로 로그인 시도 시, 접속되는 것을 확인했다.

 

 

암호화된 패스워드가 노출되어 있다.

 

https://crackstation.net/

 

CrackStation - Online Password Hash Cracking - MD5, SHA1, Linux, Rainbow Tables, etc.

Free Password Hash Cracker Enter up to 20 non-salted hashes, one per line: Supports: LM, NTLM, md2, md4, md5, md5(md5_hex), md5-half, sha1, sha224, sha256, sha384, sha512, ripeMD160, whirlpool, MySQL 4.1+ (sha1(sha1_bin)), QubesV3.1BackupDefaults How Crack

crackstation.net

hash를 뚫어주는 사이트다.

성능 좋다.

 

획득한 패스워드로 ssh 접속에 성공했다.

 

이제 루트 flag를 얻어야 한다.

이럴 때 sudo -l을 이용할 수 있다.

(ALL) NOPASSWD: /usr/bin/mosh-server

mosh-server를 sudo로 패스워드 없이 실행 가능하다.

 

mosh는 구조적으로 다음과 같이 동작합니다:

  1. 로컬에서 mosh-server를 실행 (지금은 sudo로 실행되도록 지정됨)
  2. 내부적으로 mosh-server는 쉘을 fork하거나 login, bash, sh 등을 실행함
  3. 그 후, mosh-client가 UDP를 통해 통신하며 터미널 세션을 제공

즉, mosh --server="sudo /usr/bin/mosh-server"는:

  • 자동으로 서버를 sudo 권한으로 실행
  • 내부적으로 로그인 쉘(sh, bash)을 자동으로 띄움
  • 해당 세션은 root 권한의 로그인 쉘로 작동하게 됨

그렇다고 한다.

 

대부분은 이전에 한 번씩 경험했는데, daloradius와 mosh-server는 이번이 처음이다. 이번 기회를 통해 머리에 좀 남겨두면 또 써먹을 수 있을 것 같고, 문제가 막힐 때 깃허브를 찾아보는 것도 이제 선택지로 사용할 수 있을 것 같다.

 

 

'writeup > HTB' 카테고리의 다른 글

[HTB] LinkVortex  (0) 2025.05.10
[HTB] Meow  (0) 2025.05.03