BackendTwo

BackendTwo在脆弱的web api上通过任意文件读取、热重载的uvicorn从而访问目标，之后再通过猜单词小游戏获得root

---

外部信息收集

端口扫描

循例nmap

Web枚举

feroxbuster扫目录

/api/v1列举了两个节点

/api/v1/user/1

扫user可以继续发现login和singup

注册个账户

登录

burp添加请求头

访问/docs

edit中可以添加字段以修改它，修改is_superuser

改完后需要重新登录一下

Foothold

读/proc/self/status

再读父进程的cmdline

/proc/self/environ

从环境变量可以得知运行在/home/htb目录，并且是app/main.py

由于uviron设置了–reload热重载，所以可以直接写shellcode

但是这里需要jwt设置了debug

从main跟到core/config.py, jwt secret是api key

将jwt解码，然后添加debug字段，使用api key作为secret创建新的jwt

在main.py写shellcode

然鹅这个shell很快将会断开，main会被重置，但我们可以通过这个短暂的shell写ssh key

登录ssh

本地权限提升

auth.log有个密码，它是htb的

sudo -l

/opt有个字典

当我输入shell的时候前两位是正确的

从字典中过滤

我发现它是随机并非硬编码的，每次sudo -l都会是不同的正确word

当我们输入正确的word后我们将能得到它