Дата: 28 05–2022 г.

После быстрого запуска nmap я загрузил веб-страницу и просмотрел исходный код и инструмент проверки. Я нашел скрипт с функцией получения доступа.

Эта команда Get Access извлекается из /api/access, поэтому я перешел туда, чтобы посмотреть, что там было.

Это дало токен Base 64, который после декодирования дал первый флаг. Затем я взял токен и добавил его к значению токена cookie на вкладке хранилища. При обновлении была новая страница

Глядя на обновленный сайт, мы обнаружили новую функцию в javascript, извлекающую из /api/items.

Переход на страницу API мало что дал, и я некоторое время был в тупике, поэтому пришлось прибегнуть к подсказке. Из этого я посмотрел на страницу API из burpsuite и попробовал запрос POST для успеха

Затем я протестировал некоторые расширения API, чтобы посмотреть, смогу ли я что-нибудь найти. Для этого я отправил тестовое расширение (?test=test), чтобы увидеть, какой ответ был получен и сколько слов было. Я использовал собранную информацию для формирования команды ffuf.

ffuf -w /usr/share/wordlists/dirb/common.txt -X POST -u http://10.10.94.177/api/items?FUZZ=test -fs 45 -mc all

Это был мой первый раз, когда я использовал ffuf, поэтому было приятно узнать об этом. Из этого я нашел несколько расширений, таких как cmd, которые звучали наиболее интересно, поэтому я протестировал их.

Из результатов я нашел набор компонентов, которые я искал в Интернете. Функция eval оказалась наиболее интересной, так как могла привести к RCE, поэтому я поискал для нее какие-нибудь RCE-эксплойты и добавил в команду удаленную оболочку.

После запуска удаленная оболочка была установлена. Это дало мне первый ключ. Оттуда я немного поискал и нашел скрытую папку Firefox. Сначала я проигнорировал его, но после того, как немного поковырялся, я вернулся к нему, чтобы посмотреть, что я могу сделать. Затем я нашел инструмент расшифровки Firefox, который даст мне имя пользователя и пароль, поэтому я экспортировал его через netcat и запустил программу.

Это дало мне доступ к новой учетной записи через пароль. Не было лучших привилегий, поэтому я искал SUID и нашел другой файл usr/local. С быстрым гуглом оказалось, что это в основном sudo su, поэтому я запустил его и получил привилегии root.

Ключевые результаты

Всегда внимательно изучайте скрытые файлы и те, которые не являются нормальными, чтобы увидеть, есть ли какие-либо эксплойты.

Используйте полную функциональность элемента проверки, включая отладку и хранение, так как вы можете пропустить что-то

Если вы застряли на веб-боксах, не забудьте взглянуть с помощью burpsuite.

FFUF — хороший инструмент фаззинга для поиска расширений.