Всем привет! Решаю таск CTF, но не могу понять, как поднять привилегии

User .... may run the following commands on ........:
(ALL) NOPASSWD: /usr/bin/zip data.zip /var/www/*output, /usr/bin/ln -s /var/www/* output

Не понимаю, как создать симлинк output так, чтобы создать архив /var/www/*output

Никак не могу понять логику((

ща пододи научусь телепатии , и пойму что за задание ты решаешь
какое задание?

Archivist сказал(а):

ща пододи научусь телепатии , и пойму что за задание ты решаешь
какое задание?


"Казалось бы, причем тут Симпсоны?"

Я хочу понять логику команд

Слишком мало информации чтобы понять в чем вопрос
дай контекст что почему и как , и зачем где и для чего

Как задавать вопросы How To Ask Questions The Smart Way

если вот это
"
User .... may run the following commands on ........:
(ALL) NOPASSWD: /usr/bin/zip data.zip /var/www/*output, /usr/bin/ln -s /var/www/* output
"
условие задания, то я бы отыгрывал через то что тут есть символ * , это любой файл, значит мы можем что либо туда запихнуть , какой либо свой файл
, но вопрос в другом запускается ли это от root если нет, то разве подымим мы тогда привелегии

Archivist сказал(а):

Слишком мало информации чтобы понять в чем вопрос
дай контекст что почему и как , и зачем где и для чего

Как задавать вопросы How To Ask Questions The Smart Way

если вот это
"
User .... may run the following commands on ........:
(ALL) NOPASSWD: /usr/bin/zip data.zip /var/www/*output, /usr/bin/ln -s /var/www/* output
"
условие задания, то я бы отыгрывал через то что тут есть символ * , это любой файл, значит мы можем что либо туда запихнуть , какой либо свой файл
, но вопрос в другом запускается ли это от root если нет, то разве подымим мы тогда привелегии


Сорри, бро. На форуме буквально первый день)

Смотри, суть задания - уязвимость через построение symlinks

Что я уже сделал?
Добыл user creds и подключился по SSH.
Прочитал первую часть флага.
Далее выполнил команду sudo -l, чтобы понять, какие возможности имеет юзер, под которым я авторизовался по SSH
Увидел вот это (ALL) NOPASSWD: /usr/bin/zip data.zip /var/www/*output, /usr/bin/ln -s /var/www/* output

Насколько я понял:
Прочитать нужно файлы в каталоге /root, где хранится вторая часть флага
Либо угнать ключи SSH, принадлежащие root. Но сделать это (насколько я опять же понял) можно только через симлинки.

Что такое симлинки, я знаю, но я не пойму, как это использовать в контексте текущего таска
Если еще точнее: я не пойму, как сделать симлинк, чтобы считать рутовые файлы

хм довольно интересно, это задание с Antichat? скинь названия подключусь попробую пару вариантов

смотрел уже файлы /var/www/*output ?, мб там есть что то интересное, либо намёк куда двигаться

возможно нужно сделать двойную ссылку чтобы при создании архива он что то еще съел,и потом чекать архив

Archivist сказал(а):

хм довольно интересно, это задание с Antichat? скинь названия подключусь попробую пару вариантов

смотрел уже файлы /var/www/*output ?, мб там есть что то интересное, либо намёк куда двигаться

возможно нужно сделать двойную ссылку чтобы при создании архива он что то еще съел,и потом чекать архив


Да, лаба оттуда. Уязвимость ZIP FLIP
"Казалось бы, причем здесь Симпсоны?" (Pentest Machines)

HackerLab (https://hackerlab.pro/categories/pentest-machines/b6ed71d6-2c85-4eba-9524-e607b8d5d1da)

"смотрел уже файлы /var/www/*output ?, мб там есть что то интересное, либо намёк куда двигаться"

Не, такого каталога нет. Там только html, а в нем - файлы webapi

"возможно нужно сделать двойную ссылку чтобы при создании архива он что то еще съел,и потом чекать архив"

Да, я тоже об этом думал. Но только не мойму, как реализовать

хаха я думал фраза "Казалось бы, причем здесь Симпсоны?" это ты какую то рандомную фразу вкинул... и я не понял мем, а это название ...

кста а ты не думал что вот это часть которую ты указал это от старого задания, и для рута нужно новое?

Archivist сказал(а):

кста а ты не думал что вот это часть которую ты указал это от старого задания, и для рута нужно новое?


Хм... Не совсем понял, что ты имеешь ввиду. Честно говоря, я не слишком глубоко погружен во лор Симпсонов
Я пробовал искать на хосте что-то связанное, но чет ничего не нашел (или плохо искал)

Думал, что имя пользователя (не указываю его намеренно, чтобы не было подсказок) как-то связан с таском. Но то ли я плохо искал, то ли никак не связан

Щас пробую эксперементировать в /uploads. Там есть фулл права на все. Думаю, оттуда нужно плясать и что-то колдовать с симлинками

мб смысл в том что нужно сделать символическую ссылку на тот же /etc/shadow но в папке /var/www/*
и потом заархивировать , оно в архив добавить руутом, потом открываем архив и там нужный нам файл

только вот , что то у меня не получилось , думаю попытаюсь разобраться у себя на локальке

затестил я
локально вот чекни у тебя даже

Код:



┌──(kali㉿kali)-[/tmp/1]

└─$ ln -s /etc/shadow l_shad





┌──(kali㉿kali)-[/tmp/1]

└─$ sudo zip data.zip l_shad

adding: l_shad (deflated 61%)



┌──(kali㉿kali)-[/tmp/1]

└─$


если потом открыть файл то там будут данные

ток почему тама оно не сработало...

Я попробовал вот так. Но не вышло

https://forum.antichat.xyz/attachments/29117743/img_0b86a8c06d.png

Archivist сказал(а):

затестил я
локально вот чекни у тебя даже

Код:



┌──(kali㉿kali)-[/tmp/1]

└─$ ln -s /etc/shadow l_shad





┌──(kali㉿kali)-[/tmp/1]

└─$ sudo zip data.zip l_shad

adding: l_shad (deflated 61%)



┌──(kali㉿kali)-[/tmp/1]

└─$


если потом открыть файл то там будут данные

ток почему тама оно не сработало...



Да-да, я пробовал у себя. У меня тоже норм работает.
Насколько я понял, там жесткая привязка к имени файла. Но вот какая проблема: симлинк с именем "upload" на рутовые каталоги можно сделать без проблем, а вот архив нет. Если я верно понял, команда sudo zip data.zip /var/www/*upload создает архив, имя которого должно содержать *upload

Но как это сделать - я хз, т.к. переименовывать симлинки нельзя и ссылатсья на них тоже

как я понял он добавляет в архив символическую ссылку если
путь равен 0 тип в этой же папке, то да добавит
если же надо будет зайти в папку -> потом символ линг то не добаит... это странно

Archivist сказал(а):

как я понял он добавляет в архив символическую ссылку если
путь равен 0 тип в этой же папке, то да добавит
если же надо будет зайти в папку -> потом символ линг то не добаит... это странно


Ну да, все так и есть + еще имя симлинка должно оканчиваться на *upload (test_upload, link_upload)

Просто upload в архив не добавляется

Насчёт Uploads ты почему так решил....
там же Output

Для архива оно должно оканчиваться на output
/usr/bin/zip data.zip /var/www/*output

а для ссылок пофиг, так как ссылка создает Под именем Output

Archivist сказал(а):

Насчёт Uploads ты почему так решил....
там же Output


Погоди.... Бля... Я кажется врубился)))

я поэксперементирова у тебя локально, и есть проблема...
чтобы сделать РАБОЧУЮ (внимание которую можно прочитать, а не просто ссылку) на файл shadow нужны root права, а мы их не имеем

а блин тут вторая страница уже

Archivist сказал(а):

а блин тут вторая страница уже

Archivist сказал(а):

а блин тут вторая страница уже


Привет! Я смог сдампить /etc/shadow

Привет, да тоже посидел и сделал, я видел ты делал райтап на одно задание, будешь делать райтапа на этот task?

Archivist сказал(а):

Привет, да тоже посидел и сделал, я видел ты делал райтап на одно задание, будешь делать райтапа на этот task?


Я еще не решил до конца. Надо понять, как прочитать рутовые файлы, либо подключиться из-под рута по SSH

Насчет райтапа... Хз, наверное вряд ли. На легкие таски буду делать, на средние и сложные - после отпарвки в архив

SoConsult сказал(а):

Я еще не решил до конца. Надо понять, как прочитать рутовые файлы, либо подключиться из-под рута по SSH

Насчет райтапа... Хз, наверное вряд ли. На легкие таски буду делать, на средние и сложные - после отпарвки в архив


так можно же просто сразу флаг прочитать, или это не спортивно?

Archivist сказал(а):

так можно же просто сразу флаг прочитать, или это не спортивно?


Похоже, автор таска предусмотрел и этот момент

Я пробовал сделать симлинк на /root/second_part, но такого файла нет. Пробовал играть с синонимами - тоже
И я до сих пор нихрена не могу понять, причем тут Симпсоны
Я вообще никак не погружен в этот лор

SoConsult сказал(а):

Похоже, автор таска предусмотрел и этот момент

Я пробовал сделать симлинк на /root/second_part, но такого файла нет. Пробовал играть с синонимами - тоже
И я до сих пор нихрена не могу понять, причем тут Симпсоны
Я вообще никак не погружен в этот лор


sudo /usr/bin/ln -s /var/www/html/uploads/../../../../root/last_part output

я так читал

Archivist сказал(а):

sudo /usr/bin/ln -s /var/www/html/uploads/../../../../root/last_part output

я так читал


Да, точно. Ток щас допедрил)
У меня с креативом траблы последние недели

Спасибо за помощь!