LazyAdmin ~ Tryhackme

 

Bước 1: Thu thập thông tin

nmap -sV -sC ip_victim

Thu được thông tin cổng 22, 80 đang hoạt động ở trên máy victim, mình thử enum các dịch vụ này xem có gì không

nmap -sV --script=http-enum ip_victim

Thu được ở cổng 80 đường dẫn ở cổng 80 là content/

Bước 2: Khai thác thông tin thu được

Mình vào website http://ip_victim/content/

Thấy ở đây một website CMS mã nguồn SweetRice, mình thử tìm lỗ hổng của mã nguồn này nhưng không hề có gì thông tin gì hữu ích cả. Mình liền tìm các đường dẫn url khác bằng công cụ gobuster

gobuster dir -u http://ip_victim -w /usr/share/wordlist/dirbuster/directory-2.3-medium.txt -b 404,403 -t 100

Thu được các đường dẫn khác inc/, as/, _themes/, attachment/ mình truy cập vào thấy một số đường dẫn và truy cập vào

Mình thấy một thư mục mysql_backup và đó có một tệp tin mysql_bakup_20191129023059-1.5.1.sql

Mình tải về và dùng một trình phân tích sql online: SQL OnLine IDE (sqliteonline.com)

[REDACTED]

 14 => 'INSERT INTO `%--%_options` VALUES(\'1\',\'global_setting\',\'a:17:{s:4:\\"name\\";s:25:\\"Lazy Admin's Website\\";s:6:\\"author\\";s:10:\\"Lazy Admin\\";s:5:\\"title\\";s:0:\\"\\";s:8:\\"keywords\\";s:8:\\"Keywords\\";s:11:\\"description\\";s:11:\\"Description\\";s:5:\\"admin\\";s:7:\\"manager\\";s:6:\\"passwd\\";s:32:\\"42f749ade7f9e195bf475f37a44cafcb\\";s:5:\\"close\\";i:1;s:9:\\"close_tip\\";s:454:\\"<p>Welcome to SweetRice - Thank your for install SweetRice as your website management system.</p><h1>This site is building now , please come late.</h1><p>If you are the webmaster,please go to Dashboard -> General -> Website setting </p><p>and uncheck the checkbox \\"Site close\\" to open your website.</p><p>More help at <a href=\\"http://www.basic-cms.org/docs/5-things-need-to-be-done-when-SweetRice-installed/\\">Tip for Basic CMS SweetRice installed</a></p>\\";s:5:\\"cache\\";i:0;s:13:\\"cache_expired\\";i:0;s:10:\\"user_track\\";i:0;s:11:\\"url_rewrite\\";i:0;s:4:\\"logo\\";s:0:\\"\\";s:5:\\"theme\\";s:0:\\"\\";s:4:\\"lang\\";s:9:\\"en-us.php\\";s:11:\\"admin_email\\";N;}\',\'1575023409\');',

[REDACTED]

Một thông tin bội đậm cho chúng ta user và pass có thể đây là thông tin đăng nhập của website đó, mình đem mã đó đến trang giải mã hàm băm để giải mã thu đu được thông tin đăng nhập

• Username: manager
• Password: Password123

Mình liền đến trang đăng nhập vào được trang quản trị

Mình thấy đây là một trang quản trị, mình kiếm thông tin có thể khai thác mình tìm thấy menu theme 

Vì trong thư mục URL mình tìm có đường dẫn _themes mình thấy tệp tin cần sửa bằng php, mình chọn mục header để chỉnh sửa nội dung. Mình kiếm tệp reverse php shell

Mình thay đổi địa chỉ ip kết nối và cổng kết nối. Sau đó lưu lại và vào URL _themes chọn head.php

Mình thành công kết nối revese shell, dùng một số lệnh thực thi

python -c 'import pty; pty.spawn("/bin/bash")'

export TERM=xterm

cd /home

Bước 3: Leo thang

Sau đó mình vô itguy xem thông tin và đọc thông tin 

Mình thấy tệp backup.pl có thông tin đặc biệt là nó thực hiện lệnh perl để thực hiện tệp tin copy.sh

Mình kiểm tra leo thang

Phát hiện là có thể dùng tệp tin này để leo thang được, mình thử sử leo thang bằng tệp backup.pl thì không được nhưng khi mình đến sửa tệp copy.sh để có thể kết nối reverse shell với user root. Sau đó chạy lệnh khai thác và thành công leo thang

sudo -u root /usr/bin/perl /home/itguy/backup.pl