Описание
Думаете, у вас хватит ума перехитрить команду Hack Smarter Security? Они утверждают, что непобедимы, и теперь у вас есть шанс доказать им обратное. Проникните на их веб-сервер, найдите скрытые флаги и покажите миру свои элитные хакерские навыки. Удачи, и пусть победит лучший хакер!
Но будьте осторожны, это будет нелегко. Hack Smarter Security укрепили сервер от распространенных атак, а их политика паролей требует использования паролей, которые не были взломаны (они проверяют их по списку слов rockyou.txt — вот насколько они «круты»). Хакерский вызов брошен, и пора поднять свой уровень игры. Помните, только самые изобретательные поднимутся на вершину.
Пусть ваш код будет быстрым, ваши эксплойты безупречными, а победа — вашей!
1. Сканирование nma
2. Вижу 3 открытых порта 80, 8080 и 22, смотрю что на них
3. Пробую поискать директории, на 80 порту ничего интересного
4. На порту 8080 тоже ничего интересного
5. Захожу на порт 80 и смотрю что есть интересного на сайте. Во вкладке контактов нахожу интересную запись, где говорится, что "If you'd like to get in touch with us, please reach out to our project manager on Silverpeas. His username is "scr1ptkiddy".
В переводе "Если вы хотите связаться с нами, пожалуйста, напишите нашему менеджеру проекта на Silverpeas. Его никнейм — "scr1ptkiddy"."
6. Пробую проверить директори Silverpeas на 80 и 8080 порту и на порту 8080 вижу страницу регистрации
7. Нашел в интернете дефолтные креды, но они не подходят. Ранее на сайте я видел логин, но он с дефолтным паролем тоже не подошел. После этого я решил поискать CVE для Silverpeas и нашел CVE-2024-36042.
Данная CVE исходя из описания позволяет авторизоваться без пароля https://github.com/advisories/GHSA-4w54-wwc9-x62c
Согласно описанию этой уязвимости В версиях Silverpeas до 6.3.5 допускается обход аутентификации путем пропуска поля Password в AuthenticationServlet, что часто предоставляет не аутентифицированному пользователю доступ суперадминистратора.
8. Запускаю BurpSuite, перехватываю запрос с логином scr1ptkiddy, который нашел ранее и произвольным паролем. После этого стираю поле парполя и посылаю запрос только с логином. Получается зайти под именем scr1ptkiddy
9. Я получил доступ в админ панель этой CRM как пользователь scr1ptkiddy. Зайдя в список пользователей я увидел, что существует так же еще 2 пользователя Manager и Administrateur.
10. Используя ту же уязвимость я попытался зайти от обоих пользователей. От Administrateur зайти не получилось, а вот Manager сработало.
11. В сообщении в пользователю Manager от админа есть логин и пароль для подключения по SSH
Dude how do you always forget the SSH password? Use a password manager and quit using your silly sticky notes.
12. Используя полученные данные подключаюсь по ssh и проверяю кто я
13. Читаю флаг пользователя, находящийся в файле usewr.txt
14. Выполняя команду id я увидел, что состою в группе adm это группа редко дается пользователям, часто ее дают пользователям, имеющим право читать логи. После этого я перехожу /var/log и начинаю читать файлы, ищя интересную информацию
15. В файле auth.log.2 я вижу команду tyler : TTY=tty1 ; PWD=/ ; USER=root ; COMMAND=/usr/bin/docker run --name postgresql -d -e POSTGRES_PASSWORD=_Zd_zx7N823/ -v postgresql-data:/var/lib/postgresql/data postgres:12.3, в которой указан пароль пользователя tyler, поэтому пробую сменить пользователя, используя этот пароль
16. У меня получается, проверяю кто я
17. Проверяю sudo -l и вижу, что я могу запускать что угодно
18. Выполняю команду sudo /bin/bash -p и получаю root, читаю флаг root
19. Машина решена