Recon

Tải source về dùng ffuf càng confirm web này dùng framework joomla!

Initial Access

dùng joomlascan detect được phiên bản 3.8.8, nhưng có vẻ không có poc liên quan đến phiên bản này.

sau đó mình nhớ apache 2.4.49 có vul liên quan đến path traversal và rce tuy nhiên mình thử thì không được.

---

Tuy nhiên đề có gợi ý luôn :"D ở trang index.php

nó có thể là 1 password( mình k nghĩ là lệnh curl vì cũng chưa chạm được đến cmd, và cũng không thể là path được).

Tác giả-username là Floris, password là Curling2018! thì sao nhỉ :"D

Mình loay hoay ở chức năng upload này 1 thời gian có vẻ khoong được gì

Tuy nhiên có 1 có 1 chức năng upload file dễ dàng hơn(Đúng hơn là nó cho tạo file luôn) là chức năng template, protostar-default là template đang được sử dụng

Nếu tôi chỉnh file index.php ở template proposal thì trang chủ sẽ bị thay đổi

Để bớt noisy tôi quyết định tạo file ở template Beez3

PE

Sai lầm: ngồi đọc log linpeas miệt mài mình quên mất đọc file của người dùng hiện tại đã.
Đọc thư mục của frolis thấy admin-area trông có vẻ là nguy hiểm, vậy thì lên quyền frolis đã

Dùng xxd -r filename để reverse hexdump

Cũng quằn lắm chứ đùa

Cuối cùng thu được password là 5d<wdCbdZu)|hChXll tôi nghĩ là ssh vì port ssh có mở :"D

ssh thành công ( kỉ niệm :"D bị lỗi typo floris cứ frolis)

Nếu diff file repost và trang index của web curling thì sẽ không có gì khác biệt

giả thiết: input là đường dẫn mà os sẽ curl dưới quyền root => sửa file input này thành đường dẫn reverse shell ở trên

1 chút bối rối vì giả thiết sai, khi curl vậy thì vẫn là qua đường http, nên mình vẫn chỉ lấy được reverse shell của người dùng www-data thôi

Nhưng mình bị focus vào leo len root quá nặng, thực ra đọc file mà mình k được chạm tới cũng là leo quyền rồi.

nhưng khổ cái cứ vài s nó reset lại cái input :"D

Reference

sau khi xem wu mới biết mình cùi thế nào

cụ thể là 1 câu lệnh curl được tự động như sau

curl -K input -o report

lên root 1 cách nhàn hạ