파이트해커

nmap 으로 포트 스캔 ㄱ

http 80 port 발견해서 브라우저에 http://10.10.22.23 입력하면 도메인명 나옴

→  permx.htb

/etc/hosts 파일에 IP+도메인 추가해야 해당 웹 페이지에 접속 가능

대충 온라인 교육 플렛폼인듯

문제에서 서브도메인을 찾아야 된다고함

fuff 도구로 bruteforce ㄱ

wordlist는 아래 링크에서 다운받을 수 있음

→  https://github.com/danielmiessler/SecLists/tree/master

-mc 200 옵션을 줘야지만 아래처럼 보임(다른 옵션도 있음)

www.permx.htb 랑 lms.permx.htb 찾음 

/etc/hosts에 추가

lms.permx.htb 에 접속하면 chamilo application을 사용하는 것을 확인 가능

버전 정보는 어떻게 찾는지 모르겠는데

대충 구글에 Chamilo를 검색해보면 1.11버전인것 같음

ㅇㅋ

구글링으로 stored XSS + 원격 코드 실행 CVE를 발견

해당 취약점에 대한 설명

→   https://starlabs.sg/advisories/23/23-4220/

공격 대상에 /main/inc/lib/javascript/bigupload/files/ 디렉토리가 존재하는 것을 확인

해당 경로에 리버스쉘을 업로드

리버스쉘 파일 →   https://github.com/pentestmonkey/php-reverse-shell/blob/master/php-reverse-shell.php

netcat으로 리스닝

개고생 끝에 데이터베이스 연결 정보를 포함한 파일 발견

/etc/passwd 파일을 확인해보면 root랑 mtz 계정 로그인 가능

mtz 계정으로 ㄱ

근데 왜 db 패스워드랑 계정 패스워드랑 같은지 모르겠음

진짜 문제 가이드 없었으면 상상도 못 할 ㄷ

sudo -l로 sudo 권한 확인 

mtz는 /opt/acl.sh 스크립트를 패스워드 없이 모든 사용자와 그룹 권한으로 실행 가능

그런데 /home/mtz 경로에 있는 파일 대상으로만 실행 가능

그래서 심볼릭링크를 사용해서 /etc/passwd 파일을 수정할 거임

    ↑

계정 패스워드는 mkpasswd로 해시 가능

/etc/passwd에 잘 추가됐는지 확인하고

로그인 ㄱ

flag도 확인 굿