Hello, chào mừng các bạn đến với bài viết ngày hôm nay. Let’s get started…
Enumeration
Đầu tiên, chúng ta dùng nmap để xem trên server victim mở những cổng nào
Tiếp theo mình dùng dirsearch để tìm các thư mục cũng như các file trong web. Và đây là kết quả
Ngoài dirsearch ra thì còn có rất nhiều tool tương tự khác như: ffuf, gobuster,…
Exploitation
Tiếp tục vào trong cái link tìm đc xem thấy gì nào…
Ở đây ta thấy có đường dẫn tới một file .pcap và có một lưu ý là phải dùng wget để lấy file thì mới có được đầy đủ. Ok, thích thì chiều thôi.
Có đc file rồi chúng ta dùng wireshark để phân tích file đó. Để ý packet thứ 4 thì ta nhìn thấy username và password đăng nhập vào địa chỉ http://development.smag.thm/login.php ở dạng rõ luôn. Sau một hồi loay hoay với cái địa chỉ kia thì mình nghĩ có khi nó là cái tên của server bài cho. Thử ngay thôi nào…
Để có thể trỏ cái link kia đến ip bài cho ta cần sửa file /etc/hosts (nhớ sudo mới sửa đc nhé!)
Rồi tiếp theo là vào link kia để đăng nhập thì ta thấy có một chỗ để run command. Nhìn thấy nó là nghĩ ngay đến reverse shell. Ở đây mình dùng netcat. Nhớ listen trước khi chạy lệnh kia nhé.
Privilege Escalation
Khi vào được máy victim thì chắc chắn phải lần được chỗ để leo root thì mới lấy được flag. Sau một vài cái như sudo -l
, /etc/passwd
,… thì cuối cùng cũng tìm được manh mối chính là crontab
.
Như các bạn nhìn thấy thì có một cron job thực hiện command đọc file /opt/.backups/jake_id_rsa.pub.backup
rồi ghi đè lên file /home/jake/.ssh/authorized_keys
. Do đó, nếu ta đẩy được cái authorized_keys của mình vào file jake_id_rsa.pub.backup thì ta có thể ssh đến server dưới quyền của jake.
Để làm đc điều đó, ta dùng ssh-keygen
để tạo ra một bộ identification
và public key
(authorized_key).
Tiếp theo thì chèn cái public key vào /opt/.backups/jake_id_rsa.pub.backup còn lại cứ để cron lo.
Sau khi dùng identification
để ssh vào server thì ta lấy được flag của user. Và việc tiếp theo là xem từ vị trí này, ta có thể lên root theo cách nào. Lần này thì khi sudo -l
ta phát hiện được jake có thể chạy apt-get
bằng sudo.
Vào GTFOBins để tìm thì ta thấy qua apt-get ta hoàn toàn có thể leo lên root như sau:
Hẹn gặp lại các bạn ở bài viết tiếp theo. Happy hacking <3