피드로 돌아가기
CRTA Exam Writeup — Passed | CyberWarFare Labs
Dev.toDev.to
Security

SSRF 및 Docker Escape를 통한 AD 도메인 권한 탈취 체인 구축

CRTA Exam Writeup — Passed | CyberWarFare Labs

Shikhali Jamalzade2026년 6월 12일4intermediate

Context

VPN으로 연결된 다층 인프라 내에서 외부 노출된 Flask 애플리케이션의 취약점을 이용한 내부망 진입 시나리오. 컨테이너 환경과 호스트 시스템 간의 격리 미흡 및 Active Directory(AD) 설정 오류로 인한 보안 취약점 분석.

Technical Solution

  • Flask /fetch 엔드포인트의 URL 파라미터 검증 부재를 이용한 SSRF 공격 수행
  • file:// URI Scheme과 /hostfs 경로를 통한 Docker 컨테이너 탈출 및 호스트 파일 시스템 내 SSH Private Key 및 평문 패스워드 탈취
  • sudo -l 설정의 NOPASSWD /usr/bin/vi 권한을 이용한 GTFOBins 기반 Root 권한 상승
  • /var/log/auth.log 분석을 통한 내부망(10.10.10.0/24) IP 식별 및 Lateral Movement 수행
  • elfinder 디렉토리 내 AD 계정 정보 확보 후 impacket-secretsdump를 이용한 DCSync 공격으로 krbtgt 및 Administrator NT Hash 추출
  • 추출한 NT Hash를 이용한 Pass-the-Hash(PtH) 기법으로 Domain Controller 내 secret.xml 파일 최종 탈취

- SSRF 방어 시 HTTPS 외에 file://, gopher:// 등 모든 URI Scheme 차단 여부 검토 - Docker 컨테이너 설계 시 호스트 파일 시스템 마운트(/hostfs) 최소화 및 권한 제한 - sudoers 설정 시 NOPASSWD 옵션 사용을 지양하고 최소 권한 원칙 적용 - AD 환경에서 DCSync 공격 방지를 위해 Replication 권한을 가진 계정의 엄격한 관리

원문 읽기