Hack The Box/Lab

Facts

YujinSec 2026. 5. 23. 18:56

 

로그인 페이지 찾기 

admin페이지로 들어가자 자연스럽게 로그인 페이지로 리다이렉션? 됨

취약점 찾으려고 facts 버전 cve 이렇게 검색했는데, facts가 아니라 CMS였음. 근데 다시보니 facts로 쳐도 나오는 것 같기도,,

2개나 뜬다. 

2026은 깃허브 링크가 안 보여서 아래 걸로 ㄱㄱ

https://github.com/CsuriBird/CVE-2025-2304/tree/main

 

GitHub - CsuriBird/CVE-2025-2304: This Python script exploits a critical mass assignment vulnerability in Camaleon CMS version 2

This Python script exploits a critical mass assignment vulnerability in Camaleon CMS version 2.9.0, allowing any registered user to escalate their privileges to administrator. - CsuriBird/CVE-2025-...

github.com

근데 되긴했는데, 원래도 admin이었던 걸로 기억해서 이게 의미가 있나..? 싶긴 함. 

그래서 다른 분 풀이를 참고하니, 우리는 s3를 활용해야 한다 뜸. 만약 혼자 푼다면 뭘 보고 s3를 활용해야한다는 걸 알지?

https://github.com/Alien0ne/CVE-2025-2304

 

GitHub - Alien0ne/CVE-2025-2304: Authenticated privilege escalation in Camaleon CMS v2.9.0 via improper parameter handling in th

Authenticated privilege escalation in Camaleon CMS v2.9.0 via improper parameter handling in the updated_ajax endpoint. - Alien0ne/CVE-2025-2304

github.com

s3에 접속하기 위해서는 키를 알아야 함. 고로 앞선 명령어로 획득한 키를 활용하면 됨. 얘를 저장해주자. 

저장된 키 활용해서 버킷에 접속 후 목록 확인 해봄

id를 facts.id라는 이름으로 저장해주고 내용 확인해주자 

개인키는 나만 읽을 수 있게 설정,, 안 하면 ssh가 보안 상 문제로 거부 함. 그리고 개인키 활용해서 ssh접속 시도!

일단 nutella로 해봤는데 당연하게도 안 됨. 

일단 비번을 알아야 해서 john 툴 사용해서 디코딩 함. 

시간 좀 걸림 한 5분?

 

여기서 계정명을 몰러 막혀서 다른 cve 참고 

https://github.com/Goultarde/CVE-2024-46987

 

GitHub - Goultarde/CVE-2024-46987: This Python PoC exploits CVE-2024-46987, a Path Traversal bug in Camaleon CMS 2.8.0 < 2.8.2

This Python PoC exploits CVE-2024-46987, a Path Traversal bug in Camaleon CMS 2.8.0 < 2.8.2 (work on 2.9.0). It allows authenticated users to read sensitive server files via the MediaController...

github.com

계속 오류 걸려서 뭔가 했더니,,, 내가 만든 admin 계정이 뭔가 바뀜. 비번이 바뀐 건가..?

아무튼 새 계정 만들어서 trivia라는 아이디를 획득. 

드디어 유저로는 로그인 성공!

이제 권한 상승 ㄱ

/usr/bin에 facter라는 파일 존재. facter란? ruby기반 시스템 정보 수집 프로그램으로, 이 파일 실행 시 시스템 정보를 출력해준다 함. 여기서 중요한 건 --custom-dir 이라는 옵션. 그럼 뒤에 오는 경로에 대한 파일들도 읽게 됨. 

홈에 가서 익스플로잇 파일 만들어주자(trivia에서 안 만들어도 되네..??)

끝!

 

ref. 

cve 활용 부분 부터는 라이트업 참고를 많이 함.

gpt는 번역 + trivia 계정 이름 얻는 방법 찾을 때 활용.

https://hackmd.io/wWxm2lupSjC-Ir5ELV6KVg

 

HTB Machines :: Facts - HackMD

Share Invite Publish Edit mode View mode Book mode Slide mode Preview Only me Signed-in users Everyone Only me Signed-in users Everyone Engagement control Commenting, Suggest edit, Emoji Reply Copy share link This note has no invitees    Owned this note

hackmd.io

https://www.hyhforever.top/posts/2026/02/htb-facts/

 

HTB-Facts

the writeup of facts in hackthebox

www.hyhforever.top

 

'Hack The Box > Lab' 카테고리의 다른 글

Forest  (0) 2026.06.14
CCTV  (0) 2026.06.06
Voleur  (0) 2026.05.16
Oopsie - 경로 하이재킹  (0) 2026.05.08
Included - LFI 2 & tftp & lxd  (1) 2026.05.07