HackTheBox - Medium - Linux - Noter

Noter

Noter 是一种中型 Linux 机器，其特点是利用了 Python Flask 应用程序，该应用程序使用易受远程代码执行影响的“节点”模块。由于“MySQL”守护进程以用户“root”身份运行，因此可以通过利用“MySQL”的用户定义函数来利用它来获得RCE并将我们的权限升级到“root”。

---

外部信息收集

端口扫描

循例nmap

Web枚举

注册个账号直接登进去

逛一圈没有常见的漏洞点

base64解码

flask-unsgin直接爆破

生成用户

for name in `cat /usr/share/wordlists/SecLists/Usernames/Names/names.txt`;do flask-unsign --sign --cookie "{'logged_in': True, 'username': '$name'}" --secret 'secret123' | grep -iE 'ey.*' -o >> ./res.txt;done

ffuf

有料

note 1

使用这组凭据我们可以登录ftp

有个pdf直接下下来

前面还有个ftp_admin

ftp_admin:ftp_admin@Noter!

在其中一个zip的app.py发现一组mysql凭据

md-to-pdf

packafe-lock.json中找到版本号

poc:

https://github.com/simonhaenisch/md-to-pdf/issues/99

可以RCE

常规reverse shell

本地权限提升

前面给了mysql的凭据，而且mysql还是root运行的

udf，传过去编译

plugin_dir

照着exp加载udf就ok

suid bash

它来了