[EASY] BountyHunter

툴들을 돌려보자.

22, 80 포트가 열려 있다. 웹사이트에 접속해보자.

사이트를 둘러보자.

오른쪽 상단 PORTAL에 들어가니 신고 시스템을 beta버전으로 존재한다.

Db.php가 수상해 보인다.

beta사이트를 좀 더 둘러보자.

제출할 때 xml로 넘겨받는 것 같다.

XXE 취약점을 이용해보자.

콘솔창에 넣어주고 값을 한번 넘겨보자.

잘 터진다.

User는 development인 듯 하다.

그럼 이젠 db.php를 불러와보자.

이렇게 바꿔서 넣어준 뒤에 값을 넘겨보자.

잘 나왔다.

Base64 디코딩을 해보자.

디비 비밀번호길래 어떻게 해야하나 싶었는데 그냥 ssh에 비밀번호 주고 접속하면 되는거였다..

 

user쉘을 땄다. 이젠 root 쉘을 따보자.

Python3.8로 저 경로에 있는 파일을 실행할 때는 비밀번호를 필요로 하지 않는다.

분석해보니 md 파일로 잘 우회한 뒤에 취약점이 있는 eval 함수까지 가야한다.

이렇게 만들어주고 넣어보자.

Root 쉘이 따졌다.

 

끄읕