【HTB Machine】Curling
Curling
掃描
Web
使用 Joomla CMS
從 Source Code 看到 secret.txt
從第一篇文推測 Super User 名稱是 Floris
<url>/secret.txt 有密碼
<url>/administrator 登入
RCE
在 template 新增利用 SSTI RCE
在家目錄有三個東西
輸出來看看,看起來像 hexdump
用維基百科查詢 magic header 發現是 bzip
用 CyberChef 驗證,確實是 bzip
解壓縮後變成 gzip
Bzip 再解壓
tar 解壓
拿到密碼,可以登入 SSH
User Pwned!!!
Privilege Escalation
翻一下 admin_area
可以得知 root 會定期執行 curl,可以改掉 input 讓他下載我們的 ssh pubkey,就能直接用 ssh 登入 root
