search

Machine 1: Agile (Medium)

hashtag
Enumeration

  1. Scan all port using nmap

  • NhΖ° vαΊ­y server cΓ³ 2 port 22 vΓ  80 open

+ Port 22: ChαΊ‘y dα»‹ch vα»₯ SSH vα»›i version OpenSSH 8.9p1

+ Port 80 chαΊ‘y dα»‹ch vα»₯ http vα»›i version nginx 1.18.0, domain superpass.htb

  1. KhΓ‘m phΓ‘ HTTP:

  • Sα»­ dα»₯ng gobuster để tΓ¬m tệp vΓ  đường dαΊ«n αΊ©n:

NhΖ° vαΊ­y cΓ³ 3 path được tΓ¬m thαΊ₯y lΓ  download, static, vault

  • Truy cαΊ­p trang web trΓͺn browser thαΊ₯y : Δ‘Γ’y lΓ  mα»™t trang web tαΊ‘o mαΊ­t khαΊ©u cho đường link.

  • Đăng kΓ­ 1 tΓ i khoαΊ£n vΓ  Δ‘Δƒng nhαΊ­p:

  • Sα»­ dα»₯ng Burp suite bαΊ―t được request nhΖ° sau:

  • ĐÒy lΓ  nΖ‘i cΓ³ thể tαΊ£i được thΓ΄ng tin sau khi export. XΓ‘c Δ‘α»‹nh ở Δ‘Γ’y cΓ³ lα»— hα»•ng FLI:

  • TiαΊΏn hΓ nh đọc file mΓ£ nguα»“n của trang web :

  • PhΓ‘t hiện ở Δ‘Γ’y cΓ³ 1 request tα»›i URL /vault/row/(id) . Ở Δ‘Γ’y ta cΓ³ thể xem được thΓ΄ng tin tΓ i khoαΊ£n của cΓ‘c id tα»“n tαΊ‘i. NhΖ° vαΊ­y, ở Δ‘Γ’y xΓ‘c Δ‘α»‹nh lα»— hα»•ng IDOR ( cΓ³ thể xem thΓ΄ng tin tΓ i khoαΊ£n của mα»™t người bαΊ₯t kΓ¬ mΓ  khΓ΄ng cαΊ§n xΓ‘c thα»±c người dΓΉng)

  • NhΖ° vαΊ­y, ở Δ‘Γ’y ta xΓ‘c Δ‘α»‹nh được thΓ΄ng tin Δ‘Δƒng nhαΊ­p của người dΓΉng corum.

hashtag
Flag 1

  • XΓ‘c Δ‘α»‹nh cΓ³ 3 người dΓΉng ở home:

  • LαΊ₯y thΓ΄ng tin Δ‘Δƒng nhαΊ­p vα»«a tΓ¬m được ở trΓͺn để Δ‘Δƒng nhαΊ­p vΓ o server qua dα»‹ch vα»₯ ssh vΓ  lαΊ₯y được cờ Δ‘αΊ§u tiΓͺn.

hashtag
Flag 2

  • Truy xuαΊ₯t thΓ΄ng tin tệp : /etc/hosts

  • ThαΊ₯y rαΊ±ng cΓ³ 1 subdomain Δ‘αΊ·c biệt chαΊ‘y ở localhost (127.0.0.1). KhΓ΄ng thể truy cαΊ­p subdomain nΓ y ở mΓ‘y agile. Để truy cαΊ­p được ở mΓ‘y tαΊ₯n cΓ΄ng, cαΊ§n phαΊ£i Forward Port.

  • XΓ‘c Δ‘α»‹nh port Δ‘ΓΊng mΓ  subdomain kia Δ‘Γ£ chαΊ‘y :

    NhΖ° vαΊ­y, subdomain chαΊ‘y trΓͺn port 5555

  • BΓ’y giờ, cΓ³ thể truy cαΊ­p test.superpass.htb bαΊ±ng localhost:8632 trΓͺn mΓ‘y của attacker

  • XΓ‘c Δ‘α»‹nh trang web bα»‹ IDOR vΓ  ta cΓ³ thể xem thΓ΄ng tin cΓ‘ nhΓ’n của người dΓΉng khΓ‘c.

  • Truy cαΊ­p server thΓ΄ng qua SSH vα»›i người dΓΉng edwards

XΓ‘c Δ‘α»‹nh quyền của người dΓΉng vα»›i cΓ’u lệnh sudo -l . Liệt kΓͺ cΓ‘c lệnh mΓ  edwardsngười dΓΉng được phΓ©p chαΊ‘y vα»›i sudo. Trong trường hợp nΓ y, người dΓΉng được phΓ©p chαΊ‘y sudoedit(mα»™t lệnh cho phΓ©p chỉnh sα»­a cΓ‘c tệp cΓ³ Δ‘αΊ·c quyền nΓ’ng cao) trΓͺn hai tệp: /app/config_test.jsonvΓ  /app/app-testing/tests/functional/creds.txt. CΓ‘c lệnh được giα»›i hαΊ‘n trong dev_adminnhΓ³m, cΓ³ nghΔ©a lΓ  edwardschỉ cΓ³ thể chαΊ‘y cΓ‘c lệnh nΓ y vα»›i tΖ° cΓ‘ch lΓ  thΓ nh viΓͺn của nhΓ³m Δ‘Γ³.

XΓ‘c Δ‘α»‹nh được phiΓͺn bαΊ£n sudo mΓ  server Δ‘ang chαΊ‘y lΓ  1.9.9. XΓ‘c Δ‘α»‹nh được Δ‘Γ’y lΓ  phiΓͺn bαΊ£n dΓ­nh lα»— hα»•ng CVE-2023-22809 . Sudoedit bypass in Sudo <= 1.9.12p1. Mα»™t chΓ­nh sΓ‘ch bỏ qua sudoers trong phiΓͺn bαΊ£n Sudo 1.9.12p1 khi sα»­ dα»₯ng sudoedit. Lα»— hα»•ng nΓ y cΓ³ thể dαΊ«n Δ‘αΊΏn leo thang Δ‘αΊ·c quyền bαΊ±ng cΓ‘ch chỉnh sα»­a cΓ‘c tệp trΓ‘i phΓ©p.

MiΓͺu tαΊ£ : Sudo sα»­ dα»₯ng cΓ‘c biαΊΏn mΓ΄i trường do người dΓΉng cung cαΊ₯p để cho phΓ©p người dΓΉng chọn trΓ¬nh chỉnh sα»­a của họ. Nα»™i dung trong sα»‘ cΓ‘c biαΊΏn nΓ y mở rα»™ng lệnh thα»±c tαΊΏ được truyền cho hΓ m sudo_edit(). Tuy nhiΓͺn, cΓ‘c cΓ‘i sau dα»±a vΓ o sα»± hiện diện của Δ‘α»‘i sα»‘ -- để xΓ‘c Δ‘α»‹nh danh sΓ‘ch cΓ‘c tệp cαΊ§n chỉnh sα»­a. Việc tiΓͺm mα»™t bα»• sung -- Δ‘α»‘i sα»‘ trong mα»™t trong cΓ‘c biαΊΏn mΓ΄i trường được ủy quyền cΓ³ thể thay Δ‘α»•i danh sΓ‘ch nΓ y vΓ  dαΊ«n Δ‘αΊΏn Δ‘αΊ·c quyền leo thang bαΊ±ng cΓ‘ch chỉnh sα»­a bαΊ₯t kα»³ tệp nΓ o khΓ‘c cΓ³ Δ‘αΊ·c quyền của người dΓΉng RunAs. Sα»± cα»‘ nΓ y xαΊ£y ra sau khi sudoers xΓ‘c thα»±c chΓ­nh sΓ‘ch.

  • Leo thang Δ‘αΊ·c quyền :

  1. XΓ‘c Δ‘α»‹nh lα»— hα»•ng : TαΊ‘o biαΊΏn mΓ΄i trường vΓ  thα»±c thi

NhΖ° vαΊ­y, cΓ’u lệnh nhαΊ­p vΓ o của chΓΊng ta được in ra.

Đặc quyền người dΓΉng edwards Δ‘Γ£ được thΓͺm.

Leo thang Δ‘αΊ·c quyền root thΓ nh cΓ΄ng.

PreviousHacktheboxNextWeb Application Security, Testing and Scaning - Portswigger

Last updated