Scanning dengan Nmap seperti biasa dan kita bisa melihat Port yang terbuka seperti Port 22 SSH dan Port 80 http nginx 1.18.0. Selanjutnya kita mencoba fokus pada Port 80 http
Pada 10.10.11.189 ini akan diarahkan pada precious.htb dan jangan lupa tambahkan domain tersebut pada /etc/hosts. Tampilan pada Port 80 ini menampilkan halaman search engine convert web page to PDF. Kita coba cari kerentanan yang terdapat search engine convert web page to PDF.
Sekarang coba mengarahkan Web Page to PDF dengan Server kita sendiri, dengan mencoba menyambungkan dengan server kita.
Dengan kita menambahkan payload url http server kita dapat mendownload file PDF otomatis yang ada di server target, dan PDF ini juga berisi Directory Listing website kita sendiri.
Dengan kita mendownload PDF dari website target, kita coba untuk menggunakan exiftool untuk melihat lebih dalam di file PDF tersebut.
Exploitation
Selanjutnya disini kami menemukan bahwa website ini vulnerability CVE-2022-25765 yang saya peroleh pada Artikel. Berikut ini kami mencoba menambahkan payload pada:
Disini bahwa payload sleep menandakan tertidur, dan file PDF terdownload otomatis.
Selanjutnya kita disini mencoba payload sleep menjadi revshell, Dengan revshells.com kita dapat membuat reverse shell menggunakan python dan sambungkan netcat pada terminal untuk melihat apakah berhasil backconnect.
Post Exploitation
Setelah kita dapat backconnect dengan website disini kita coba mencari Informasi Senstive dan mendapatkanya pada directory cat .bundle/config
Kita mencoba menghubungkan dengan SSH dengan ssh henry@10.10.11.189 password: Q3c1AqGHtoI0aXAYFH
Priveleges Escalation
Disini kita berhasil masuk pada SSH. Kita mencoba untuk melihat sudoers apa saja yang bisa kita local privileges, Dengan melihat izin sudoers, kita dapat menjalankan file ruby sebagai root.
Jika kita membaca file tersebut, kita dapat melihat bahwa di satu bagian mendapatkan file yml yang mencoba memuat dependencies.yml
Kita melihat bahwa itu menggunakan YAML.load, yang rentan terhadap deserialization attack. Anda dapat membaca lebih lanjut tentang deserialization YAML disini. Kita disini mencoba membuat file “dependencies.yml” dengan payload untuk mengexploitasikan.