Tryhackme - LazyAdmin

 LazyAdmin - nghe tiêu đề thôi là thấy thú vị rồi đúng không. Hãy tưởng tượng 1 hệ thống mà khi Admin lên cơn lười thì nó sẽ như nào, chúng ta hãy cùng xem nha

Như thường lệ, nmap thôi:

Vẫn như vậy, hệ thống khá đơn giản và nhìn qua thì port 80 này cũng không có gì (vì nó là trang mặc định của apache) nên mình sẽ tìm hidden directory luôn:

Ta thấy có một đường dẫn là /content. Và mình truy cập vào nó:

Ta có thể thấy nó dẫn chúng ta đến 1 site khác có tên là SweetRice. Và SweetRice là một phiên bản của CMS, và nó có 1 lỗ hổng đó là lộ file backup. Cách khai thác rất đơn giản, ta chỉ cần truy cập vào /content/inc và ta dễ dàng thấy có 1 thư mục tên mysql_backup, và ta lấy file trong đó về:

Như các bạn có thể thấy chỗ mình bôi đen ở trên hình, thì đó chính là mật khẩu cho người dùng admin tên là manager. Nhưng có vẻ mật khẩu này được mã hóa sang 1 dạng nào đó, và mình dùng hash-identifier để nhận dạng mã hóa thì nó sẽ cho ra kết quả là MD5 và MD4. Với linh cảm của mình thì mình thiên về MD5 hơn và mình dùng john để crack password và đây là kết quả:

Mật khẩu này đúng là quá yếu hehe. Và bây giờ với username + password vừa tìm được, ta dễ dàng đăng nhập được vào site qua đường dẫn /content/as:

Đăng nhập thành công!! Nhiệm vụ tiếp theo sẽ là tạo 1 file reverse shell trên hệ thống của nạn nhân. Mình vào Ads, tạo 1 file reverse shell bằng php:

Tiếp theo ta tạo cổng kết nối, ở đây mình sử dụng cổng 4444 vì reverse shell của mình mình đặt port listen cho nó ở 4444 và.....:

Tuyệt vời!! Và ta có thể dễ dàng đọc được user.txt ở thư mục /home/itguy/:

Tiếp theo ta lại thấy cũng trong đường dẫn đó có 1 file tên backup.pl, và mình đọc file này:

Chúng ta có 1 file mới là /etc/copy.sh, lại đọc file này ra thôi. Và khi các bạn đọc file này thì sẽ thấy có 1 đoạn lệnh ở trong đó, và đó chính là đoạn lệnh dùng để kết nối từ máy này sang máy khác. Ngoài ra khi mình cho chạy sudo -l thì kết quả khá bất ngờ:

Ôi Chúa ơi, vui luôn!!!!!!!! Việc bây giờ của mình chỉ việc chỉnh sửa lại file copy.sh, thay IP trong đó thành IP + port của máy tấn công rồi chạy file backup (sudo /usr/bin/perl /home/itguy/backup.pl) + tạo cổng kết nối mới:

Hoàn hảo, giờ đọc file root thôi:

Có vẻ như ông Admin này lười thật, mà cũng lười quá thì cũng nên, hệ thống như này thì có mà bay luôn :))))). Và bài viết đến đây là kết thúc, bye bye và hẹn gặp lại trong những bài viết lần sau!!!