Exploit for PHANTOM_CTF_HACKINGCLUB_BY_BSIDESRECIFE

Name: Exploit for PHANTOM_CTF_HACKINGCLUB_BY_BSIDESRECIFE
Rating: 5 (7 reviews)
2026-06-08 | CVSS 5.5
## https://sploitus.com/exploit?id=1CC62CB8-118D-5904-A69B-D653763F6302
# Phantom — CTF Writeup & Exploit (HackingClub / BSides Recife)

Resolução completa da máquina **Phantom** (portal NFS-e em PHP), do CTF da **BSides Recife**
(HackingClub). A gente travou nela durante o evento e finalizou **depois do CTF**, com calma.

A flag exige **encadear 4 vulnerabilidades**, cada uma destravando a seguinte:

> **Auth bypass (método HTTP) → SSRF/LFI → PHAR deserialization (POP chain) → RCE**

## Conteúdo

- 📖 [`WRITEUP-Phantom.md`](./WRITEUP-Phantom.md) — passo a passo com o raciocínio real e os becos sem saída
- ⚙️ [`phantom_exploit.py`](./phantom_exploit.py) — exploit automatizado (só requer `python3`, stdlib)

## Uso

```bash
python3 phantom_exploit.py            # alvo default: phantom.hackingclub.com.br
python3 phantom_exploit.py https://alvo
```

```
[+] auth bypass via PATCH -> sessao admin
[+] LFI/SSRF confirmados (li /etc/passwd via file://)
[+] phar enviado: /var/www/shared/logos/.png
[+] RCE confirmada em http://renderer/sh_.php  ->  uid=33(www-data)
[+] FLAG: hackingclub{...}
```

O exploit **redescobre tudo em runtime** (testa qual método loga, confirma o LFI, lê o
código-fonte via LFI, monta o phar em Python puro e procura a flag no filesystem) — nada de
valores chumbados.

## A cadeia, em resumo

| # | Vulnerabilidade | Onde | Resultado |
|---|---|---|---|
| 1 | Auth bypass por método HTTP | `login.php` (`PUT`/`PATCH`) | sessão de admin sem senha |
| 2 | SSRF + LFI (blocklist fraca) | `api/cnpj.php` (`api=`) | leitura de arquivo / acesso interno |
| 3 | Fonte exposto por volume compartilhado | `/var/www` (portal ↔ renderer) | senha real + gadgets da POP chain |
| 4 | PHAR deserialization → escrita arbitrária | `render.php` (`logo_path=phar://`) | webshell → **RCE** |

## ⚠️ Aviso de uso

Material **educacional**, publicado após o término do CTF. Use somente em ambientes de
CTF/laboratório **autorizados**. Não aponte o exploit para sistemas sem permissão explícita.

---

*Apoio de ferramental: **Agente VION**, agente de pentest desenvolvido internamente para otimizar recon/automação.*
*— João Silva & equipe, pesquisadores de segurança / hackers éticos.*