Приветствую всех, дорогие обитатели ресурсов Codeby! Представляю вашему вниманию очередной авторский врайтап к заданию с площадки Antichat. Сегодня мы попробуем выбраться из Лабиринта / Администрирование.

Подключаемся через netcat по айпишнику с портом, которые указаны в описании таска



Посмотрим справочник по командам через /help



Окей, вектор у нас однозначно только один - команда /hello, которая выводит приветствие с указанным именем. Тестируем



Догадываемся, что должна произойти какая-то инъекция команды. Допустим, что на стороне сервера скрипт выполняет printчерез evalследующим образом



Тогда наш пейлоад для удаленного выполнения команды был бы следующим
. Думаю понятно, что делает наш пейлоад.



У нас этот пейлоад работает. Но, мы точно не знаем, как именно принимает аргумент скрипт на сервере. Попробуем свой пейлоад на реальной цели



Не совсем то, что мы ожидали. Вероятно, хоть сервер обрабатывает запрос через python, но передает он другому скрипту, который написан на абсолютно любом интерпретируемом языке программирования.
Допустим, скрипт передает введенное имя к другому скрипту на PHP. И имя он будет выводить скорее всего следующим образом
В таком случае, у нас пейлоад будет чуть отличаться от старого.

проверяем



Отлично! Мы успешно проэксплуатировали уязвимость CMD Injection. Смотрим список файлов



Хмм. Вероятно, некоторые команды, как
фильтруются. Попробуем обойти, используя трюк с кавычками



Отлично! Таким же подходом читаем флаг



Бинго!

Приятного хакинга и до скорых встреч : )