0xMH

안녕하세요~ 오랜만에 블로그를 올립니다 ㅎㅎ 대학원 일때문에 블로그를 못 썼습니다 ㅠㅠ 저의 블로그 통계를 보니 모의 침투가 가장 인기가 많은 것 같기 때문에 오늘도 모의 침투에 대한 블로그를 쓰기로 했습니다. ​ 오늘은 HackTheBox의 Easy/Medium인 머신 "GoodGames"를 풀어 보겠습니다. 리눅스 환경이고, SQL Injection을 통해 Administrator의 비밀번호 해시를 받고 뚫은 다음에 로그인하고, SSTI 취약점을 악용하고 shell를 받습니다. 권한상승은 home directory에 mount되어 있다는 사실 활용하여 /bin/bash binary로 root shell을 얻을 것입니다. ​ 먼저 nmap을 돌려 보겠습니다. 보시다시피 웹서버밖에 없습니다. 홈페이지에 ..

HackTheBox 2022. 5. 20. 07:11