Recon

Có 3 port mở trên host này

port web 80 và 3000 đều là 1 trang web sanbox cho thực hiện code nodejs

Tuy nhiên nó đã chặn 1 số hàm nguy hiểm có thể thực hiện lệnh trực tiếp goi hệ thống

Initial Access

tuy nhiên có 1 gợi ý khá quan trọng về thư viện vm2 library được dùng để tạo sanbox

Sandbox Escape in vm2@3.9.15 (github.com)

Sandbox Escape in vm2@3.9.16 (github.com)

đây là 2 poc liên quan đến vm2 với lỗ hổng rce. Yah, gotit.

Thực hiện reverse shell

Không có quyền để vào thưu mục của người dùng joshua, do đó cần phải leo quyền để lên người dùng này( rất có thể đây là hướng gián tiếp leo lên quyền root)

PE

joshua

có 1 thư mục db ở trong /var/www/contact , đã là db thì kiểu gì chả có credential hehe

chuyển file tickets.db và dump được dữ liệu từ database. password nữa là ra được mật khẩu của người dùng joshua

username:joshua,password:spongebob1

Thành công đăng nhập với người dùng joshua , nhận thấy joshua có thể sử dụng file

/opt/scripts/mysql-backup.sh dưới quyền sudo không cần mật khẩu

Root

tuy không có quyền chỉnh sửa file /opt/scripts/mysql-backup.sh tuy nhiên lại tồn tại 1 lỗ hổng liên quan đến so sánh chuỗi bằng bash

Viết 1 file python để bruteforce mật khẩu của người dùng root

tôi thử ssh nhưng có vẻ khong được, có lẽ chỉ là chặn ssh người dùng root

nhưng không phải là hết cách hehe