Recon

Lab gợi ý có 1 endpoint là /nibbleblog/ (và trang hiện tại không có gì thú vị đâu hehe)

Mình nghĩ đây là 1 cái framework nào đó.

Sau khi tìm hiểu thì nó là framework cùng tên luôn, tên là nibbles.
Sau khi lượn 1 vòng các endpoint mình loot được 1 username là admin

Sau 1 hồi bruteforce không thành do blacklist ip, (và tra cứu :"D tra gì thì ai biết) thì bài này phải đoán được password. và nó là nibbles.

Initial Access

Sau khi tra Vul về nibbleblog thì bản 4.0.3 có vul ở enpoind admin.php với parameter 'controller' => 'plugins', 'action' => 'config', 'plugin' => 'my_image', và có vẻ như là file upload lên bi đổi tên nhưng giữ lại extionsion ?

Ờ nó đó. Sr tập tành ngựa ngựa dùng post để đỡ bị phát hiện :"D

Sau 1 hồi quằn quại với reverse shell mình cũng kiếm được 1 payload và hiểu ra là do nó không cho dùng /bin/sh từ người dùng từ xa.

Tuy nhiên python -c 'import pty; pty.spawn("/bin/bash")'

lại có thể đánh lừa đây là 1 shell hợp lệ

PE

dùng sudo -l để xem các tác vụ có quyền cao.

Và tất nhiên nibbler là người dùng hiện tại, có quyền sửa file ở thư mục của nibbler rồi :"D