HackTheBox – Medium – Linux – BackendTwo

BackendTwo

BackendTwo在脆弱的web api上通过任意文件读取、热重载的uvicorn从而访问目标,之后再通过猜单词小游戏获得root


外部信息收集

端口扫描

循例nmap

file

Web枚举

file

feroxbuster扫目录

file

/api/v1列举了两个节点

file

/api/v1/user/1

file

扫user可以继续发现login和singup

file

注册个账户

file

登录

file

burp添加请求头

file

访问/docs

file

edit中可以添加字段以修改它,修改is_superuser

file

file

改完后需要重新登录一下

Foothold

读/proc/self/status

file

再读父进程的cmdline

file

/proc/self/environ

file

从环境变量可以得知运行在/home/htb目录,并且是app/main.py

file

由于uviron设置了–reload热重载,所以可以直接写shellcode

file

但是这里需要jwt设置了debug

从main跟到core/config.py, jwt secret是api key

file

将jwt解码,然后添加debug字段,使用api key作为secret创建新的jwt

file

在main.py写shellcode

file

然鹅这个shell很快将会断开,main会被重置,但我们可以通过这个短暂的shell写ssh key

file

登录ssh

file

本地权限提升

auth.log有个密码,它是htb的

file

sudo -l

file

/opt有个字典

file

当我输入shell的时候前两位是正确的

file

从字典中过滤

file

我发现它是随机并非硬编码的,每次sudo -l都会是不同的正确word

当我们输入正确的word后我们将能得到它

file