Это мой первый Write up, надеюсь будет полезным для кого-нибудь!

Описание
Получите RCE на узле smashmusic.edu.stf (10.124.1.241) посредством Unrestricted File Upload.
Для получения флага выполните скрипт /home/rceflag.

1. Первым делом брутим директории. Я использую словарь SecLists/Discovery/Web-Content/common.txt
Сортируем по длине ответа и видим интересные ссылки

https://forum.antichat.xyz/attachmen...53e27a7757.png

2. В /uploads видим загруженные файлы.
В /secret файлы с расширением php - ссылки на страницы с последующими редиректами.
Но прежде чем произошел редирект, если перехватить запрос можно увидеть в ответе функционал. Например, в /secret/uploadMusic.php видим форму на загрузку файла

https://forum.antichat.xyz/attachmen...c6b7f9458d.png

3. Подсказка 2 гласит:
Но я слишком ленивая и решила попробовать загрузить файл без взлома JWT, а напрямую через POST ./uploadMusic.php

Имитирую загрузку файла в burp test-file.php с классическим payload-ом

Код:


https://forum.antichat.xyz/attachmen...1776f32e06.png

Получаю
Пробуем с разрешенными типами (и сразу пробую двойное расширение .php.mpeg):

https://forum.antichat.xyz/attachmen...e2f71d8b51.png

Файл загружен, он появился в http://10.124.1.241/uploads/
Но выполнить скрипт php не выходит, поэтому пробуем другое расширение. Есть разные варианты, например

Код:


Пробуем - получилось через .phtml (filename="test-file.phtml")

https://forum.antichat.xyz/attachmen...c156a08e3b.png

Тестируем
и видим результат ls, значит можно пробовать запускать
И видим наш долгожданный флаг без геморроя с JWT.