Tryhackme CTF Write-Up : Lazy Admins

Dans ce write-up, nous verrons comment compléter Lazy admin de TryHackMe, Un challenge CTF de niveau débutant qui requiert plusieurs techniques : nmap, gobuster, CMS, élévation de privilège

Enumération

Commençons par un scan Nmap pour voir les ports ouverts puis un second sur ceux ouverts pour voir les services qui tournent dessus ainsi que le script par défaut de nmap sur ces ports

Dans ce scan nous trouvons que deux ports sont ouverts :

• 22 : un service ssh OpenSSH 7.2p2

• 80 : Un serveur Apache httpd 2.4.18

Passons à l'énumération de dossir avec gobuster

Nous trouvons directement le dossier /content

Qui contient un CMS SweetRice, après tentative de trouver la version sans résultat, je continue d'énumérer à partir de /content

dans le fichier /inc, nous trouvons un dossier intéressant "mysql_backup"

téléchargeons-le et regardons ce qu'il contient

Nous trouvons un username "manager" et un potentiel mot de passe hashé

avec un analyseur de hash nous trouvons rapidement que c'est en MD5 et nous le crackons rapidement

Dans /content/as nous trouvons un panel administrateur, essayons les credentials que nous venons d'avoir

Cela fonctionne, nous trouvons alors la version 1.51,

recherchons sur exploit-db une vulnérabilité pour cette version nous trouvons ceci

Pour résumer, lors d'ajouts d'ad, nous pouvons injecter du code php, et donc nous allons injecter un reverse-shell php ( pentestmonkey)

vérifiez bien de mettre votre ip tryhackme ainsi que le port associé au listener netcat que vous allez mettre

Une fois tout cela setup, rendez vous sur /content/inc/ads, et cliquez sur le reverse-shell

Et voilà l'accès initial,

Nous pouvons récupérer le flag user dans /home/itguy

Elevation de privileges :

Nous voyons que notre utilisateur à les permissions root sur un binaire, backup.pl

dans le contenu de backup.pl nous voyons que cela execute un autre binaire, /etc/copy.sh

et nous avons les permissions d'écriture pour ce binaire

Nous voyons dans copy.sh qu'il y'a déjà un reverse-shell, il ne reste plus qu'à changer l'ip de celui ci par celle de notre machine et de setup un netcat listener puis une fois le listener établi, qu'à lancer backup.pl avec sudo

De retour sur notre listener nous voyons que nous avons établie la connexion en tant que root,

récupérons le flag

J'espère que vous aurez appris quelque chose et apprécié mon write-up

N'hésitez pas à faire la room sur tryhackme : https://tryhackme.com/room/lazyadmin

mon profil tryhackme : https://tryhackme.com/p/Frozzinours