Recon

autorecon

host có 2 port mở là port 22-ssh và 80-http

directory scan

có vẻ là không có endpoint nào quá đặc biệt

Trang web cũng không có gì đặc biệt, nó giống với 1 trang web tĩnh, có duy nhất 1 form đăng kí thì nó không có thuộc tính name, nên nó cũng không thể bị tấn công sqli hay xss được

virtualhost

phát hiện ra virtualhost dev.devvortex.htb tồn tại.

directory scan

các endpoint này thấy quen quen, nhưng tôi không thể nhớ ra nó của framework nào

\=)) hóa ra là joomla

Joomlascan cho biết version là 4.2.6

Tham khảo: https://vulncheck.com/blog/joomla-for-rce

poc: https://github.com/Acceis/exploit-CVE-2023-23752

lỗ hổng này cho phép leak thông tin liên quan đến cơ sở dữ liệu

Inital Access

Tôi đã thử bằng ssh tuy nhiên nó không phải credential ssh, nó là credential admin truy cập vào trang quản trị

Joomla có 1 trang template, chúng ta hoàn toàn có thể sử dụng nó để upload file code php và thực hiện reverse shell

PE

Logan

Có vẻ chúng ta phải loot credential của logan

chúng ta đã leak được thông tin đăng nhập vào mysql từ trước đó, tại sao không thử :"D

Vừa hay trong db có lưu 1 người dùng tên logan và định dạng có vẻ giống mật khẩu của linux

tôi crack thành công mật khẩu của logan:tequieromucho

Root

Linh cảm của tôi cho hướng tôi đến những lệnh mà logan được dùng dưới quyền root

CVE này liên quan đến apport-cli từ các phiên bản 2.26.0 trở về trước

Rất có thể nó được dùng để khai thác bài lab này

đây là poc

https://github.com/canonical/apport/commit/e5f78cc89f1f5888b6a56b785dddcb0364c48ecb

tuy nhiên, trong poc cũng nói nó giống với less, tôi thêm argv less mới khai thác dược lỗi này.(kỳ lạ :V)

sau đó gõ !bash và nhân enter là xong