Topology - HTB write-up

**Topology - HTB CTF** # Recon Nmap ![](https://hackmd.io/_uploads/Syp9LLE62.png) Mở port 22, 80 Vào site xem sao :// ![](https://hackmd.io/_uploads/BkHCsLEp2.png) --- # Enmu Từ đây, biết được domain là `topologi.htb` ![](https://hackmd.io/_uploads/r12e3IEph.png) Thấy có link của một subdomain nữa :// ![](https://hackmd.io/_uploads/ByXVhIV63.png) ``` http://latex.topology.htb/equation.php ``` Fuzz được vài cái nữa nên mình vứt hết vào file host luôn ![](https://hackmd.io/_uploads/B1uFVc4T3.png) ![](https://hackmd.io/_uploads/BkCr3LVTn.png) Thử chút latex-inject xem sao :// >https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/LaTeX%20Injection > https://book.hacktricks.xyz/pentesting-web/formula-doc-latex-injection Sau một hồi vọc vạch thì ... ![](https://hackmd.io/_uploads/ryQe0O4Th.png) Trả về hash ![](https://hackmd.io/_uploads/S1OzR_Eah.png) --- # Leo quyền user Từ Hash ``` vdaisley:$apr1$1ONUB/S2$58eeNVirnRDB5zAIbIxTY0 ``` Crack ra được password của user `vdaisley` ![](https://hackmd.io/_uploads/HyhaLK4Tn.png) > calculus20 SSH vào thành công :V ![](https://hackmd.io/_uploads/BJRHDtEph.png) Lượn lờ :// ![](https://hackmd.io/_uploads/HyS_vFVT3.png) Lấy thành công flag user ![](https://hackmd.io/_uploads/SyWswYVah.png) --- # Leo root Kéo thằng PSPY vào để xem nó phân tích được gì không :// > https://github.com/DominicBreuker/pspy ![](https://hackmd.io/_uploads/rkiuy5E63.png) ![](https://hackmd.io/_uploads/BJKcyqN6n.png) Tìm thấy có một cái tiến trình của target đang chạy và thực thi cái file dạng .plt với quyền root :100: ![](https://hackmd.io/_uploads/S1Jmg9ET2.png) Echo vào một file.plt rồi để target tự chạy file rồi lên quyền thôi :> `echo 'system "chmod u+s /bin/bash"' > /opt/gnuplot/privesc.plt` ![](https://hackmd.io/_uploads/rkUCW9E6h.png) `bash -p` để nâng quyền mình lên root :V ![](https://hackmd.io/_uploads/Skwfz5ET2.png) Lên root ![](https://hackmd.io/_uploads/rkEKz5ET3.png) Done