BackendTwo
BackendTwo在脆弱的web api上通过任意文件读取、热重载的uvicorn从而访问目标,之后再通过猜单词小游戏获得root
外部信息收集
端口扫描
循例nmap
Web枚举
feroxbuster扫目录
/api/v1列举了两个节点
/api/v1/user/1
扫user可以继续发现login和singup
注册个账户
登录
burp添加请求头
访问/docs
edit中可以添加字段以修改它,修改is_superuser
改完后需要重新登录一下
Foothold
读/proc/self/status
再读父进程的cmdline
/proc/self/environ
从环境变量可以得知运行在/home/htb目录,并且是app/main.py
由于uviron设置了–reload热重载,所以可以直接写shellcode
但是这里需要jwt设置了debug
从main跟到core/config.py, jwt secret是api key
将jwt解码,然后添加debug字段,使用api key作为secret创建新的jwt
在main.py写shellcode
然鹅这个shell很快将会断开,main会被重置,但我们可以通过这个短暂的shell写ssh key
登录ssh
本地权限提升
auth.log有个密码,它是htb的
sudo -l
/opt有个字典
当我输入shell的时候前两位是正确的
从字典中过滤
我发现它是随机并非硬编码的,每次sudo -l都会是不同的正确word
当我们输入正确的word后我们将能得到它
