CTF Прохождение TryHackME | LazyAdmin

vov4ick

Green Team
11.12.2022
54
125
BIT
1 007
1723811519277.png


Приветствую всех кто зашел прочитать данный райтап. Как вы догадались речь пойдет о прохождение машины LazyAdmin - уровень Easy на площадке TryHackMe.

Сканирование.

У нас есть два порта на которых висят ssh и Apache.
1723811898270.png


Посетив нашу цель мы не нашли ничего интересного.
1723811986460.png


По этому начинаем фазить директории:
1723812151041.png

Что нас здесь интересует это : content, content/inc, content/as.

При переходе на content мы видим приветствие на сайте и название CMS.
1723812595466.png


При переходе на content/as , мы наблюдаем вход, возможно в панель администратора.
1723812935399.png


Воспользуемся инструментом searchsploit - он позволяет искать эксплойты и уязвимости в локальной базе данных Exploit Database.
1723812769112.png

Здесь нас интересует Backup Disclosure.
Просмотрим содержимое с помощью команды searchsploit -x 40718.
Здесь сказано что,вы можете получить доступ ко всем резервным копиям mysql и загрузить их из этого каталога. ( )
1723813095463.png


Файл с именем mysql_bakup_20191129023059-1.5.1.sql скорее всего представляет собой резервную копию базы данных MySQL.
1723813293032.png


Внутри нас ожидает следующее:
Screenshot_14.png


Нам повезло у нас есть админ под юзернеймом manager, пароль в хеше, но это не проблема. Воспользуемся Crackstation.
1723813686106.png


Мы получили пароль, далее мы пробуем зайти в учетку.
Здесь нас приветствует панель Администратора.
1723814353355.png


У нас есть возможность создавать шаблоны во вкладке Ads.
1723814489069.png


Shell Upload.

Попробуем сделать реверс шелл и отправить его.
Воспользуемся revershell generator, очень полезный сайт с шеллами разных мастей. И очень удобный так как подставляет все значения сам.
Нам нужно выбрать сам реверс шелл и порт на котором мы будем прослушивать соединение.
В данном случае выбор пал на PHP PentestMonkey.
Screenshot_5.png


Шелл успешно загружен осталось поймать соединение и обратиться к нему.
1723815267661.png


Запускаем листенер
1723815445420.png


И обращаемся к нашему шеллу по ссылке.
1723815979824.png


Так мы получили соединение.
1723816064250.png


Наша цель это сдать два флага user.txt и root.txt.
Флаг лежит в домашней директории в данном случае у нас есть право на его чтение:
Screenshot_6.png

Screenshot_7.png


Privilege escalation.


Далее мы проверяем какие команды мы можем выполнять от sudo:
1723816734162.png


Скрипт backup.pl вызывает и выполняет другой скрипт, находящийся в /etc/copy.sh.
1723816937999.png


Copy.sh
Этот скрипт выполняет последовательность команд, которые создают обратную оболочку
(reverse shell) на сервере, направленную на IP-адрес 192.168.0.190 на порт 5554

1723817090782.png


В нашем случае у нас есть право на запись в этот файл и мы его немножко подредактируем.
Просто изменив IP PORT.

1723817420667.png


Запускаем наш скрипт.
1723817783746.png


Ловим соединение.
1723817663330.png


Успех. Довольно простая машина , которая соответствует своему уровню сложности.
Всем спасибо за внимание, если у кого то есть пожелания буду рад это обсудить в комментариях.
 

Вложения

  • 1723811816312.png
    1723811816312.png
    7,7 КБ · Просмотры: 22
  • 1723814845640.png
    1723814845640.png
    978 байт · Просмотры: 24
  • 1723815088508.png
    1723815088508.png
    51,3 КБ · Просмотры: 25
  • 1723815384364.png
    1723815384364.png
    5,8 КБ · Просмотры: 21
  • 1723815479740.png
    1723815479740.png
    12,7 КБ · Просмотры: 22
  • 1723815634174.png
    1723815634174.png
    19,2 КБ · Просмотры: 21
  • Screenshot_6.png
    Screenshot_6.png
    37,8 КБ · Просмотры: 22
  • Screenshot_6.png
    Screenshot_6.png
    37,8 КБ · Просмотры: 22
  • Нравится
Реакции: N1GGA и Edmon Dantes
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!