Приветствую,
! Сегодня пройдём
- лёгкую линуксовую машину с площадки
. Приятного чтения, друзья

Разведка

Начинаем, как всегда со сканирования портов, используем флаг
, чтобы использовать стандартные скрипты,
, чтобы определить сервисы открытых портов:

Bash:


Bash:


У нас есть три открытых
-порта:
,
и
. Начнём с
-го:



При переходе на
нас сразу же перенаправляет на
. В таком случае следует внести
-адрес и домен в файл
. Сделать это можно вот таким вот образом:



Теперь мы можем попасть на домен:



На сайте я ничего интересного не обнаружил, поэтому решил профаззить каталоги и файлы:

Bash:




Нашлась директория
. Давайте посмотрим что в ней:



Тут нас приветствует
. Всегда, когда обнаруживаете подобные панели - сразу же ищите стандартные данные от них. Такие мисконфиги очень популярны в
:



В данном случае стандартное имя пользователя для админа это
, а пароль
. Для пользователя это
и
.

Пробуем войти от лица администратора:



Взятие www-data

Теперь у нас есть доступ к файловому менеджеру. Через него мы можем загрузить вредоносный
-файл и получить реверс шелл.



Для начала скачаем на нашу машину следующий файл - https://raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php:

Bash:




Это готовый реверс шелл, который был написан на
. Теперь отредактируем его - в
нам нужно вставить наш
-адрес в
-сети, а в
, соответственно, порт:



Теперь ставим листенер на порт, который мы указали в
-файле:



Сразу же в каталог, в котором мы оказались изначально, загрузить файл не получилось, поэтому переходим в
:



Затем в
:



И нажимаем кнопку
:



Прожимаем область с текстом
и выбираем
:



Файл загружен, теперь нужно заставить веб-сервер запустить
-код, который расположен в нём:



Нажимаем на
, а затем на кнопку
:



И получаем сессию от лица пользователя веб-сервера
:



Стабилизируем оболочку с помощью
:

Bash:


Взятие пользователя

К сожалению, на машине повысить привилегии в данном случае не получилось. Но мы можем обнаружить следующий конфигурационный файл
, где есть поддомен
:



Вносим его в
и переходим на
:



Тут мы можем посмотреть матчи, авторизоваться и зарегистрироваться. Для начала выполним последнее:



Теперь авторизуемся:



Отлично. Тут написано, что
нашего билета равен
. Похоже, что тут есть какое-то обращение к базе данных:



Попробуем ввести в форму
:



Отправляем запрос и получаем
:



То есть данный сервис проверяет валидность нашего билета по
через базу данных. Попробуем проэксплуатировать
-инъекцию:



- наш тикет существует

Посмотрим исходный
-код страницы:



Запросы идут через веб-сокеты и
порт, который был в сканировании
. В таком случае мы можем попробовать использовать
, который поддерживает веб-сокеты, чтобы вытащить нужные нам данные из базы данных. Для начала посмотрим какие есть базы данных с помощью опции
:

Bash:




,
,
и
база данных - генерируются автоматически. Следовательно, нам нужна
: используем опцию
, чтобы указать название БД и
. чтобы получить из неё таблицы с данными:

Bash:




Самое интересное это:

Код:


Эти данные могут подойти для пользователя
. Попробуем подключиться по
:



Взятие рута

Скачем программу
с нашего хоста в каталог
на удалённую машину (про
и то, как это делается я рассказывал в прошлых прохождениях):



Даём права на запуск (
) и запускаем. Во вкладке с “интересными” правами мы можем увидеть
с
-битом:



, как и
позволяет запускать приложения от имени других пользователей. Настроить
можно через
(https://wiki.archlinux.org/title/Doas_(Русский)):



Ищем конфиг с помощью
и видим, что мы можем запускать
с привилегиями суперпользователя. Проверяем:



Запуск
через
работает, отлично. Теперь заглянем на
(dstat | GTFOBins) - как можно повысить привилегии, если мы можем запускать
с правами суперпользователя:



Нам нужна вкладка
. И просто повторяем эти две строки:



Рут получен.

Огромное спасибо, что дочитали статью до конца. Если есть какие-то ошибки/неточности, то, пожалуйста, напишите об этом в комментариях