HackTheBox: baby nginxatsu (Web)

[roaris]

https://app.hackthebox.com/challenges/baby%2520nginxatsu

[roaris]

Nginxの設定ファイルを作成するWebアプリ

• POST /api/configs?api_token=AAKeQ2BoSftRhI5EK4L13xrIoZfDRPLFDsP1oNMBPlW5ozGctT649L7RBXHOlh5j32UP

リクエスト

{
  "server": {
    "name": "_",
    "port": "80",
    "root": "/www/public",
    "index": "index.php",
    "user": "www",
    "workers": "1024",
    "tokens": "off"
  },
  "routes": [{ "location": "/storage", "directive": "autoindex on" }]
}

レスポンス

{
  "user_id": 4,
  "file_name": "nginx_6627c7c32f381",
  "updated_at": "2024-04-23T14:37:55.000000Z",
  "created_at": "2024-04-23T14:37:55.000000Z",
  "id": 51
}

• GET /api/configs?api_token=AAKeQ2BoSftRhI5EK4L13xrIoZfDRPLFDsP1oNMBPlW5ozGctT649L7RBXHOlh5j32UP

レスポンス

[
  {
    "id": 51,
    "user_id": "4",
    "file_name": "nginx_6627c7c32f381",
    "created_at": "2024-04-23T14:37:55.000000Z",
    "updated_at": "2024-04-23T14:37:55.000000Z"
  },
  {
    "id": 52,
    "user_id": "4",
    "file_name": "nginx_6627c85c5be07",
    "created_at": "2024-04-23T14:40:28.000000Z",
    "updated_at": "2024-04-23T14:40:28.000000Z"
  }
]

user_idが4から始まっているのと、設定ファイルのidが51から始まっているのが気になる

[roaris]

/config/51にアクセスすると、作成した設定ファイルが確認出来る /config/50などにアクセス出来ないか試す

こんな感じで出来ない

[roaris]

/storage/nginx_6627c7c32f381.conf にアクセスすると、設定ファイルがそのまま見れる /storage/にアクセスすると、ディレクトリリスティングが有効になっていた

[roaris]

v1_db_backup_1604123342.tar.gz というファイルがあるので、ダウンロードして解凍する

$ tar -zxvf v1_db_backup_1604123342.tar.gz
x database/database.sqlite

database.sqliteというファイルが手に入った

DB Browser for SQLiteでdatabase.sqliteを開く usersテーブルを見ると、3件分のデータが入っていた

[roaris]

3件分のemail / passwordを試したが、ログイン出来なかった よく考えると、passwordがa\~f, 0\~9から構成されているので、ハッシュ化されているはず 32文字なのでMD5だろうか

e7816e9a10590b1e33b87ec2fa65e6cdをそのまま検索すると、元の値が出てきた https://md5.gromweb.com/?md5=e7816e9a10590b1e33b87ec2fa65e6cd 残り2つは出てこず

[roaris]

nginxatsu-adm-01@makelarid.es / adminadmin1 でログインするとフラグが出てきた