Writeup smashmusic.edu.stf (Bootcamp)
Задание
Для решения задания нужно реализовать RCE на хосте smashmusic.edu.stf
Хост smashmusic.edu.stf находится на IP адресе 10.124.1.241. Первым делом просканируем nmap
В принципе, скан ничего интересного не показал. Так как торчит 80 порт, то можно сразу поффазить его.
Фаззинг показал довольно много интересного. В директории /js/ лежит три файла. В одном из этих файлов можно получить JWT токен, смекаешь?
Делаем POST запрос и получаем наш JWT токен
При декодировании JWT токена мы видим, что у нас name это demo_user. Можно попробовать сбрутить секретный ключ и поменять name.
С помощью полученного секретного ключа генерируем новый JWT токен, заменяя поле name на admin.
Затем смотрим директорию secret. В ней лежит два файла, по которым мы можем перейти с нашим токеном. На одном из файлов мы можем загрузить файл. Но при попытке загрузить php файл получаем ошибку
Отправляем запрос в Responder, меняем Content-Type и расширение файла. Загружаем файл и видим успешную загрузку
Запускаем наш вредоносный файл в директории /uploads/file.?, получаем reverse shell и читаем флаг.
The End!
Подписывайся и смотри новые writeup!
